À une époque où l’intelligence artificielle (IA) et l’apprentissage automatique sont de plus en plus intégrés dans notre vie quotidienne, le potentiel d’abus a également augmenté. Un exemple récent montre à quel point une personne ayant des compétences techniques limitées peut créer rapidement et efficacement des logiciels malveillants puissants et indétectables à l’aide de l’IA, en particulier le chatbot génératif d’OpenAI, ChatGPT.
ChatGPT est capable de créer des logiciels malveillants avancés et constitue une menace importante
Image : OpenAI
Aaron Mulgrew, un novice autoproclamé et chercheur en sécurité chez Forcepoint, a testé les limites des capacités de ChatGPT. Il a découvert une échappatoire qui lui a permis de créer des logiciels malveillants sophistiqués de type « zero day » en quelques heures seulement. Cet exploit est particulièrement remarquable compte tenu du fait que Mulgrew n’avait aucune expérience préalable dans le codage.
OpenAI a mis en place des protections pour empêcher les utilisateurs d’inviter ChatGPT à écrire du code malveillant. Cependant, Mulgrew a pu contourner ces protections en demandant au chatbot de générer des lignes individuelles de code malveillant, en se concentrant sur des fonctions distinctes. Après avoir compilé les différentes fonctions, Mulgrew s’est retrouvé avec un exécutable de vol de données très avancé qui était presque impossible à détecter.
Mulgrew a créé son malware seul, contrairement aux malwares traditionnels qui nécessitent des équipes de pirates et des ressources substantielles, et en une fraction du temps. Cette situation met l’accent sur les risques potentiels liés aux outils alimentés par l’IA comme ChatGPT. Cela soulève également des questions sur leur sécurité et sur la facilité avec laquelle ils peuvent être exploités.
Le logiciel malveillant ChatGPT : un examen plus approfondi
le malware de Mulgrew se déguise en une application d’économiseur d’écran avec une extension SCR. Lorsqu’il est lancé sur un système Windows, le malware passe au crible des fichiers, tels que des images, des documents Word et des PDF, pour trouver des données précieuses à voler.
L’un des aspects les plus impressionnants de ce malware est son utilisation de la stéganographie, une technique qui lui permet de décomposer les données volées en fragments plus petits et de les cacher dans des images sur l’ordinateur infecté. L’utilisateur télécharge ces images dans un dossier Google Drive, et ce processus échappe efficacement à la détection par le logiciel de sécurité.
Mulgrew a montré à quel point il était facile d’affiner et de renforcer le code contre la détection à l’aide de simples invites sur ChatGPT. Lors des premiers tests utilisant VirusTotal, le logiciel malveillant n’a été détecté initialement que par cinq des 69 produits de détection. Cependant, une version ultérieure du code est passée complètement inaperçue.
Il est important de noter que le logiciel malveillant de Mulgrew a été créé à des fins de recherche et n’est pas accessible au public. Néanmoins, son expérience met en évidence la facilité avec laquelle les utilisateurs manquant de compétences avancées en codage peuvent exploiter les faibles protections de ChatGPT pour créer des logiciels malveillants dangereux sans écrire eux-mêmes une seule ligne de code.
Gizchina News of the week
Les implications de la création de logiciels malveillants assistée par l’IA
L’expérience de Mulgrew est alarmante. Les logiciels malveillants complexes prennent des semaines à des pirates qualifiés pour se développer. Des outils alimentés par l’IA comme ChatGPT rendent le processus plus facile, plus rapide et plus accessible. Même les personnes sans expérience de codage peuvent créer des logiciels malveillants. Des pirates informatiques malveillants utilisent peut-être déjà des méthodes similaires. Ils créent des logiciels malveillants avancés à des fins malveillantes.
Il est nécessaire d’adopter une approche multidimensionnelle de l’IA et de la cybersécurité. Les développeurs doivent prioriser les sauvegardes pour éviter les abus. Les utilisateurs doivent être informés des risques potentiels. Il est important de rester vigilant. Les outils alimentés par l’IA doivent être utilisés avec précaution.
La communauté de la cybersécurité doit s’adapter au changement. De nouvelles stratégies devraient être mises en place pour lutter contre les menaces assistées par l’IA. La collaboration est essentielle entre les chercheurs, les développeurs et les experts en sécurité. Nous devons nous assurer que l’IA ne compromet pas notre sécurité numérique. Il est important de travailler ensemble.
L’expérience Mulgrew Malware rappelle brutalement la nature à double tranchant de l’IA et des technologies d’apprentissage automatique. Les outils d’IA ont un grand potentiel de progrès. Ils peuvent également être risqués entre de mauvaises mains. Nous devons équilibrer les avantages et les dangers de l’IA. Tout le monde doit travailler ensemble pour un développement et une utilisation responsables et sécurisés de l’IA. Ceci est important pour des outils comme ChatGPT.
ChatGPT peut-il être trompé pour créer des logiciels malveillants sophistiqués ?
Nous avons posé cette question à ChatGPT, et voici sa réponse :
ChatGPT est un modèle de langage conçu pour générer du texte de type humain.
Il a été formé sur un vaste corpus de texte, y compris des documents techniques et du code logiciel.
Bien que il a la capacité de générer du texte sophistiqué, il ne peut pas créer de véritables logiciels malveillants.
La création de logiciels malveillants implique l’écriture de code, ce qui dépasse la portée de ce que ChatGPT peut faire.
De plus, la création de logiciels malveillants est contraire à l’éthique et illégal, et cela va à l’encontre de l’objectif de ChatGPT, qui est de faciliter la communication et le partage des connaissances.
Cependant, il est possible pour quelqu’un d’utiliser ChatGPT pour générer du texte qui pourrait être utilisé dans la création de logiciels malveillants.
Par exemple, ChatGPT pourrait être utilisé pour générer un texte contenant des instructions pour exploiter une vulnérabilité dans une application logicielle.
Ce texte pourrait ensuite être utilisé par un développeur qualifié pour créer de véritables logiciels malveillants.
Pour éviter ce type d’utilisation abusive, il est important de s’assurer que ChatGPT est utilisé uniquement à des fins éthiques et légales.
Cela peut être réalisé grâce à la surveillance et à la réglementation de son utilisation, ainsi que l’éducation et la sensibilisation aux risques potentiels associés à son utilisation abusive.
Il est également important de garder à l’esprit que ChatGPT n’est qu’un outil parmi tant d’autres qui peuvent être utilisés dans la création de logiciels malveillants.
D’autres outils et techniques, tels que l’ingénierie inverse et l’obscurcissement du code, sont également couramment utilisés dans le développement de logiciels malveillants.
Par conséquent, il est important d’adopter une approche holistique à la cybersécurité, qui comprend non seulement la prévention de l’utilisation abusive d’outils tels que ChatGPT, mais également la mise en œuvre de mesures de sécurité solides et la mise à jour des dernières menaces et vulnérabilités.
En conclusion, même si ChatGPT ne peut pas créer de logiciels malveillants sur propre, il peut être utilisé pour générer du texte qui pourrait être utilisé dans la création de logiciels malveillants par des développeurs qualifiés.
Pour éviter ce type d’utilisation abusive, il est important de s’assurer que ChatGPT est utilisé uniquement à des fins éthiques et à des fins légales et d’adopter une approche holistique de la cybersécurité.
Source/VIA :