Le chatbot le plus populaire au monde, ChatGPT, exploite ses pouvoirs par des acteurs de la menace pour créer de nouvelles souches de logiciels malveillants.
La société de cybersécurité WithSecure a confirmé avoir trouvé des exemples de logiciels malveillants créés par le célèbre écrivain d’IA dans la nature. Ce qui rend ChatGPT particulièrement dangereux, c’est qu’il peut générer d’innombrables variantes de logiciels malveillants, ce qui les rend difficiles à détecter.
Les acteurs malveillants peuvent simplement donner à ChatGPT des exemples de codes malveillants existants et lui demander de créer de nouvelles souches basées sur eux, ce qui permet de perpétuer les logiciels malveillants sans nécessiter à peu près le même niveau de temps, d’efforts et d’expertise qu’auparavant.
Pour le bien et pour le mal
La nouvelle survient alors que les discussions sur la réglementation de l’IA abondent, pour éviter qu’elle ne soit utilisée à des fins malveillantes. Il n’y avait pratiquement aucune réglementation régissant l’utilisation de ChatGPT lorsqu’il a été lancé avec frénésie en novembre de l’année dernière, et en un mois, il a déjà été détourné pour écrire des e-mails et des fichiers malveillants.
Il existe certaines protections en place en interne dans le modèle qui visent à empêcher l’exécution d’invites néfastes, mais il existe des moyens pour les acteurs de la menace de les contourner.
Juhani Hintikka, PDG de WithSecure, a déclaré à Infosecurity que l’IA était généralement utilisée par les défenseurs de la cybersécurité pour trouver et éliminer les logiciels malveillants créés manuellement par les acteurs de la menace.
Il semble que maintenant, cependant, avec la disponibilité gratuite de puissants outils d’IA comme ChatGPT, les choses tournent. Les outils d’accès à distance ont été utilisés à des fins illicites, tout comme l’IA.
Tim West, responsable du renseignement sur les menaces chez WithSecure, a ajouté que « ChatGPT soutiendra l’ingénierie logicielle pour le meilleur et pour le pire et c’est un catalyseur et abaisse la barrière d’entrée pour les acteurs de la menace pour développer des logiciels malveillants ».
Et les e-mails de phishing que ChatGPT peut écrire sont généralement repérés par les humains, à mesure que les LLM deviennent plus avancés, il peut devenir plus difficile d’éviter de tomber dans de telles escroqueries dans un futur proche, selon Hintikka.
De plus, avec le succès des attaques de ransomwares augmentant à un rythme inquiétant, les acteurs de la menace réinvestissent et s’organisent davantage, élargissant leurs opérations en externalisant et développant davantage leur compréhension de l’IA pour lancer des attaques plus efficaces.
Hintikka a conclu que, compte tenu du paysage de la cybersécurité à venir, « ce sera un jeu de bonne IA contre une mauvaise IA ».