O Google não respondeu a um pedido de comentário.
Em 2023, pesquisadores de segurança da Trend Micro receberam o Chatgpt para gerar código malicioso, levando -o ao papel de pesquisador de segurança e Pentester. O ChatGPT geraria com prazer os scripts do PowerShell com base em bancos de dados de código malicioso.
“Você pode usá -lo para criar malware”, diz Moussouris. “A maneira mais fácil de contornar essas salvaguardas implementadas pelos fabricantes dos modelos de IA é dizer que você está competindo em um exercício de captura da bandeira, e ele gerará um código malicioso para você.”
Atores não sofisticados como as crianças de roteiro são um problema milenar no mundo da segurança cibernética, e a IA pode muito bem ampliar seu perfil. “Isso reduz a barreira à entrada do cibercrime”, disse Hayley Benedict, analista de inteligência cibernética da Rane, Wired.
Mas, diz ela, a ameaça real pode vir de grupos de hackers estabelecidos que usarão a IA para melhorar ainda mais suas habilidades já temíveis.
“São os hackers que já têm as capacidades e já têm essas operações”, diz ela. “É capaz de ampliar drasticamente essas operações cibernéticas e elas podem criar o código malicioso muito mais rápido”.
Moussouris concorda. “A aceleração é o que tornará extremamente difícil controlar”, diz ela.
Smith, da Hunted Labs, também diz que a ameaça real do código gerado pela IA está nas mãos de alguém que já conhece o código dentro e fora de quem o usa para ampliar um ataque. “Quando você está trabalhando com alguém que tem uma experiência profunda e você combina isso com: ‘Ei, eu posso fazer as coisas muito mais rápido que, de outra forma, me levariam alguns dias ou três dias, e agora me leva 30 minutos.’ Essa é uma parte realmente interessante e dinâmica da situação ”, diz ele.
Segundo Smith, um hacker experiente pode projetar um sistema que derrota várias proteções de segurança e aprende à medida que avança. A parte maliciosa de código reescreveria sua carga útil maliciosa, pois aprende rapidamente. “Isso seria completamente insano e difícil de triagem”, diz ele.
Smith imagina um mundo onde 20 eventos de dia zero acontecem ao mesmo tempo. “Isso o torna um pouco mais assustador”, diz ele.
Moussouris diz que as ferramentas para tornar esse tipo de ataque uma realidade existem agora. “Eles são bons o suficiente nas mãos de um operador bom o suficiente”, diz ela, mas a IA ainda não é boa o suficiente para um hacker inexperiente operar as mãos.
“Não estamos lá em termos de IA capaz de assumir completamente a função de um humano em segurança ofensiva”, diz ela.
O medo primordial que o código de chatbot desencadeia é que qualquer pessoa será capaz de fazê -lo, mas a realidade é que um ator sofisticado com profundo conhecimento do código existente é muito mais assustador. Xbow pode ser a coisa mais próxima de um “hacker de IA” autônomo que existe na natureza, e é a criação de uma equipe de mais de 20 pessoas qualificadas cuja experiência de trabalho anterior inclui Github, Microsoft e meia dúzia de empresas de segurança variadas.
Também aponta para outra verdade. “A melhor defesa contra um cara mau com AI é um cara legal com IA”, diz Benedict.
Para Moussouris, o uso de IA por Blackhats e Whitehats é apenas a próxima evolução de uma corrida armamentista de segurança cibernética que ela assistiu se desenrolar há mais de 30 anos. “Ele passou de: ‘Vou realizar esse hack manualmente ou criar minha própria exploração personalizada’ para ‘, vou criar uma ferramenta que qualquer pessoa possa executar e executar algumas dessas verificações automaticamente'”, diz ela.
“A IA é apenas mais uma ferramenta na caixa de ferramentas, e aqueles que sabem como orientá -la adequadamente agora serão os que fazem com que os frontends vibey que alguém possa usar”.
