ChatGPT peut créer une cyberattaque
Des chercheurs de Checkpoint ont démontré qu’il est relativement aisé de créer un flux d’exécution complet à l’aide de ChatGPT. De la rédaction de l’e-mail de phishing à l’écriture du code téléchargeant et exécutant un fichier malveillant à l’ouverture d’un document Excel.
Le 14 octobre 2020, des chercheurs d'OpenAI (à qui l’on doit ChatGPT) du Stanford Institute for Human-Centered Artificial Intelligence, et d'autres universités se sont réunis pour discuter de questions concernant GPT-3, le plus grand modèle de langage dense divulgué publiquement à l'époque.
En fin du compte-rendu de cette réunion, les chercheurs posent notamment la question suivante: «Quel serait le rapport coût-efficacité et le niveau de compétence requis pour que des acteurs malveillants utilisent abusivement des modèles de langage à diverses fins, par rapport à d'autres méthodes permettant d'atteindre les mêmes objectifs?».
Flux d'exécution made by ChatGPT
Des spécialistes en cybersécurité de Checkpoint viennent de leur répondre. Dans un article publié le 19 décembre, ils expliquent comment ils ont créé un flux d’exécution complet (courriel de phishing contenant un fichier Excel malveillant doté de macros qui télécharge un reverse shell) sans taper une ligne de code, et en s’appuyant uniquement sur les capacités de ChatGPT et de Codex (un autre outil d’OpenAI qui traduit le langage naturel en code Python et d’autres langages de programmation).
Ils ont notamment demandé à ChatGPT de créer un mail de phishing en se faisant passer pour une société d’hébergement:
Les chercheurs de Checkpoint ont ensuite demandé au système de créer le code malveillant. Ils soulignent qu’à chaque étape, il faut plusieurs itérations pour parvenir à un bon résultat.
Après avoir réalisé les mêmes opérations avec Codex, les chercheurs ont également réussi à tirer parti des capacités de cet outil pour qu’il produise des scripts Python à la volée et à la demande suite à la première exécution.
Utilisation bienveillante aussi possible
Les chercheurs ont également démontré que l’IA peut être utilisée pour se défendre. Ils ont ainsi demandé avec succès à Codex d’écrire des fonctions Python aidant à rechercher des URL à l’intérieur de fichiers et interrogeant VirusTotal pour connaître le nombre de détections d’un hachage spécifique.
Et les chercheurs d’avertir: «Si cette nouvelle technologie aide les défenseurs, elle abaisse également la barre d’entrée requise pour les acteurs de la menace peu qualifiés pour mener des campagnes de phishing et développer des logiciels malveillants».