Le bot ChatGPT AI a suscité des spéculations sur la façon dont les pirates pourraient l’utiliser et des outils similaires pour attaquer plus rapidement et plus efficacement, bien que les exploits les plus dommageables jusqu’à présent aient été dans les laboratoires.
Dans sa forme actuelle, le bot ChatGPT d’OpenAI, une startup d’intelligence artificielle soutenue par des milliards de dollars de Microsoft Corp., est principalement formé pour digérer et générer du texte. Pour les responsables de la sécurité, cela signifie que les e-mails de phishing écrits par des robots pourraient être plus convaincants que, par exemple, les messages d’un pirate dont la langue maternelle n’est pas l’anglais.
Le ChatGPT d’aujourd’hui est trop imprévisible et sujet aux erreurs pour être une arme fiable en soi, a déclaré Dustin Childs, responsable de la sensibilisation aux menaces chez Zero Day Initiative de Trend Micro Inc., le programme de chasse aux vulnérabilités logicielles de la société de cybersécurité. “Nous sommes à des années de l’IA qui trouvera des vulnérabilités et réalisera des exploits par elle-même”, a déclaré M. Childs.
Pourtant, ce ne sera pas toujours le cas, a-t-il déclaré.
Deux chercheurs en sécurité de la société de cybersécurité Claroty Ltd. ont déclaré que ChatGPT les avait aidés à remporter le hack-a-thon Zero Day Initiative à Miami le mois dernier.
Noam Moshe, chercheur en vulnérabilité chez Claroty, a déclaré que l’approche que lui et son partenaire ont adoptée montre comment un pirate informatique déterminé peut utiliser un robot IA. L’IA générative – des algorithmes qui créent du texte ou des images réalistes à partir des données de formation qu’ils ont consommées – peut compléter le savoir-faire des pirates, a-t-il déclaré.
L’objectif de l’événement de trois jours, connu sous le nom de Pwn2Own, était de perturber, de pénétrer et de prendre le contrôle de l’Internet des objets et des systèmes industriels. Avant d’arriver, les concurrents ont choisi des cibles dans la liste de Pwn2Own, puis ont préparé des tactiques.
M. Moshe et son partenaire ont trouvé plusieurs points faibles potentiels dans leurs systèmes sélectionnés. Ils ont utilisé ChatGPT pour aider à écrire du code pour enchaîner les bogues, a-t-il dit, économisant ainsi des heures de développement manuel. Aucun bug n’aurait permis à l’équipe d’aller très loin, a-t-il dit, mais les manipuler dans une séquence le ferait. Lors du concours, M. Moshe et son partenaire ont réussi les 10 tentatives, remportant 123 000 $.
“Une vulnérabilité en soi n’est pas intéressante, mais lorsque nous examinons la situation dans son ensemble et collectons les vulnérabilités, nous pouvons reconstruire la chaîne pour prendre le contrôle du système”, a-t-il déclaré.
OpenAI et d’autres sociétés disposant de robots d’IA génératifs ajoutent des contrôles et des filtres pour prévenir les abus, par exemple pour empêcher les sorties racistes ou sexistes.
Certains mauvais acteurs essaieront probablement de contourner les limites de la cybersécurité enseignées aux bots, a déclaré Christopher Whyte, professeur adjoint de cybersécurité et de sécurité intérieure à la Virginia Commonwealth University.
Plutôt que de demander à un bot d’écrire du code pour extraire des données d’un ordinateur à l’insu d’un utilisateur, un pirate informatique pourrait essayer de le tromper pour écrire du code malveillant en formulant la demande sans déclencheurs évidents, a déclaré M. Whyte.
C’est comme lorsqu’un escroc utilise la persuasion pour tromper un employé de bureau afin qu’il révèle des informations d’identification ou vire de l’argent sur des comptes frauduleux, a-t-il déclaré. “Vous orientez la conversation pour amener la cible à contourner les contrôles”, a-t-il déclaré.
Écrivez à Kim S. Nash à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
