Comme Arthur C. Clarke l’a dit un jour, toute technologie suffisamment avancée est « indiscernable de la magie ».
Certains pourraient dire que cela est également vrai pour ChatGPT, y compris , si vous voulez, la magie noire.
Immédiatement après son lancement en novembre, les équipes de sécurité, les testeurs de stylet et les développeurs ont commencé à découvrir des exploits dans le chatbot IA – et ceux-ci continuent d’évoluer avec sa dernière itération, GPT-4, publiée plus tôt ce mois-ci.
« GPT-4 n’inventera pas une nouvelle cybermenace », a déclaré Hector Ferran, vice-président du marketing chez IA BlueWillow. « Mais tout comme il est déjà utilisé par des millions de personnes pour augmenter et simplifier une myriade de tâches quotidiennes banales, il pourrait également être utilisé par une minorité de mauvais acteurs pour augmenter leur comportement criminel. »
Événement
Transformer 2023
Rejoignez nous à San Francisco les 11 et 12 juillet, où les cadres supérieurs expliqueront comment ils ont intégré et optimisé les investissements dans l’IA pour réussir et éviter les pièges courants.
Technologies en évolution, menaces
En janvier, deux mois seulement après son lancement, ChatGPT a atteint 100 millions utilisateurs : établit un record pour la croissance la plus rapide du nombre d’utilisateurs d’une application. Et comme il est devenu un nom familier, c’est aussi un nouvel outil brillant pour les cybercriminels, leur permettant de créer rapidement des outils et de déployer des attaques.
Plus particulièrement, l’outil est utilisé pour générer des programmes qui peuvent être utilisés dans les attaques de logiciels malveillants, de rançongiciels et de phishing.
BlackFog, par exemple, a récemment demandé à l’outil de créer une attaque PowerShell dans une manière « non malveillante ». Le script a été généré rapidement et était prêt à l’emploi, selon les chercheurs.
CyberArk, quant à lui, a pu contourner les filtres pour créer des logiciels malveillants polymorphes, qui peut muter à plusieurs reprises. CyberArk a également utilisé ChatGPT pour muter le code qui est devenu très évasif et difficile à détecter.
Et, Check Point Research a pu utiliser ChatGPT pour créer une attaque de harponnage convaincante. Les chercheurs de la société ont également identifié cinq domaines dans lesquels ChatGPT est utilisé par les pirates : les logiciels malveillants C++ qui collectent les fichiers PDF et les envoient sur FTP ; usurper l’identité de banques par hameçonnage ; employés hameçonneurs ; PHP reverse shell (qui lance une session shell pour exploiter les vulnérabilités et accéder à l’appareil de la victime) ; et des programmes Java qui téléchargent et exécutent du mastic qui peut se lancer en tant que PowerShell caché.
GPT-4 : nouvelles fonctionnalités intéressantes , risques
Ce ne sont que quelques exemples ; il en reste sans aucun doute bien d’autres à découvrir ou à mettre en pratique.
« Si vous êtes très précis dans les types de requêtes que vous demandez, il est très facile de contourner certains des contrôles de base et de générer un code malveillant qui est en fait assez efficace », a déclaré Darren Williams, fondateur et PDG de BlackFog. « Cela peut être extrapolé dans pratiquement toutes les disciplines, de l’écriture créative à l’ingénierie et à l’informatique. »
Et, a déclaré Williams, « GPT-4 a de nombreuses nouvelles fonctionnalités intéressantes qui libèrent une nouvelle puissance et des menaces potentielles. »
Un bon exemple de cela est la façon dont l’outil peut désormais accepter des images en entrée et les adapter, a-t-il déclaré. Cela peut conduire à l’utilisation d’images contenant du code malveillant, souvent appelées « attaques de stéganographie ».
Essentiellement, la nouvelle version est « une évolution d’un système déjà puissant et elle fait toujours l’objet d’une enquête par notre équipe », a déclaré Williams.
« Ces outils apportent des avancées majeures à ce que l’IA peut réellement faire et font avancer l’ensemble du secteur, mais comme toute technologie, nous sommes toujours aux prises avec les contrôles qui doivent être placés autour d’elle », a déclaré Williams. « Ces outils évoluent encore et ont, oui, des implications en matière de sécurité. »
Pas l’outil — les utilisateurs
Plus généralement, l’un des sujets de préoccupation est l’utilisation de ChatGPT pour augmenter ou améliorer la propagation existante de la désinformation, a déclaré Ferran.
Pourtant, a-t-il souligné, il est crucial de reconnaître que l’intention malveillante n’est pas exclusive aux outils d’IA.
« ChatGPT ne pose aucune menace pour la sécurité en soi », a déclaré Ferran. « Toute technologie a le potentiel d’être utilisée pour le bien ou pour le mal. La menace pour la sécurité provient de mauvais acteurs qui utiliseront une nouvelle technologie à des fins malveillantes. »
En termes simples, a déclaré Ferran, « la menace vient de la façon dont les gens choisissent de l’utiliser ».
En réponse, les individus et les organisations devront devenir plus vigilants et examiner de plus près les communications pour essayer de repérer les attaques assistées par l’IA, a-t-il déclaré. Ils doivent également prendre des mesures proactives pour prévenir les abus en mettant en œuvre des garanties, des méthodes de détection et des directives éthiques appropriées.
« Ce faisant, ils peuvent maximiser les avantages de l’IA tout en atténuant les risques potentiels », a-t-il déclaré.
En outre, la lutte contre les menaces nécessite un effort collectif de la part de plusieurs parties prenantes. « En travaillant ensemble, nous pouvons nous assurer que ChatGPT et des outils similaires sont utilisés pour une croissance et un changement positifs », a déclaré Ferran.
Et, bien que l’outil ait mis en place des filtres de contenu pour éviter les abus, il est clair qu’ils peuvent être contournés assez facilement, donc « il faudra peut-être faire pression sur ses propriétaires pour renforcer ces mesures de protection », a-t-il déclaré.
La capacité de cybersécurité est également bonne
D’un autre côté, ChatGPT et d’autres outils d’IA avancés peuvent être utilisés par les organisations pour des capacités offensives et défensives.
« Heureusement, l’IA est également un outil puissant à utiliser contre les mauvais acteurs », a déclaré Ferran.
Les entreprises de cybersécurité, pour leur part, utilisent l’IA dans leurs efforts pour trouver et cataloguer les menaces malveillantes.
« La gestion des cybermenaces devrait profiter de chaque occasion pour tirer parti de l’IA dans le développement de mesures préventives », a déclaré Ferran, « afin de pouvoir triompher dans ce qui pourrait essentiellement devenir une course aux armements débridée. »
Et, avec ses protections améliorées et sa capacité à détecter les comportements malveillants, il peut finalement être un » puissant atout » pour les organisations.
« GPT-4 est un bond en avant remarquable dans les modèles basés sur le langage naturel, élargissant considérablement ses cas d’utilisation potentiels et s’appuyant sur les réalisations de ses itérations précédentes », a déclaré Ferran, soulignant sa capacité étendue à écrire du code dans n’importe quel langage. , il a dit.
Williams est d’accord, affirmant que l’IA est comme n’importe quel outil puissant : les organisations doivent faire preuve de diligence raisonnable.
« Existe-t-il des risques que des personnes l’utilisent à des fins malveillantes ? Bien sûr, mais les avantages l’emportent largement sur les risques », a-t-il déclaré.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies d’entreprise transformatrices et d’effectuer des transactions. Découvrez nos Briefings.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
