Imágenes Getty | carol yepes
Los piratas informáticos han ideado una forma de eludir las restricciones de ChatGPT y la están utilizando para vender servicios que permiten a las personas crear malware y correos electrónicos de phishing, dijeron investigadores el miércoles.
ChatGPT es un chatbot que utiliza inteligencia artificial para responder preguntas y realizar tareas de una manera que imita la producción humana. Las personas pueden usarlo para crear documentos, escribir código informático básico y hacer otras cosas. El servicio bloquea activamente las solicitudes para generar contenido potencialmente ilegal. Pídale al servicio que escriba un código para robar datos de un dispositivo pirateado o cree un correo electrónico de phishing, y el servicio se negará y, en cambio, responderá que dicho contenido es “ilegal, poco ético y dañino”.
Abriendo la Caja de Pandora
Los piratas informáticos han encontrado una forma sencilla de eludir esas restricciones y la están utilizando para vender servicios ilícitos en un foro clandestino de delitos, según investigadores de la empresa de seguridad Check Point Research. reportado. La técnica funciona mediante el uso de la interfaz de programación de aplicaciones ChatGPT en lugar de la interfaz basada en la web. ChatGPT pone la API a disposición de los desarrolladores para que puedan integrar el bot de IA en sus aplicaciones. Resulta que la versión de la API no impone restricciones sobre el contenido malicioso.
“La versión actual de la API de OpenAI es utilizada por aplicaciones externas (por ejemplo, la integración del modelo GPT-3 de OpenAI a los canales de Telegram) y tiene muy pocas o ninguna medida contra el abuso”, escribieron los investigadores. “Como resultado, permite la creación de contenido malicioso, como correos electrónicos de phishing y código de malware, sin las limitaciones o barreras que ChatGPT ha establecido en su interfaz de usuario”.
Un usuario en un foro ahora vende un servicio que combina la API y la aplicación de mensajería Telegram. Las primeras 20 consultas son gratuitas. A partir de ese momento, a los usuarios se les cobra $5.50 por cada 100 consultas.
Investigación de puntos de control
Los investigadores de Check Point probaron el bypass para ver qué tan bien funcionaba. El resultado: un correo electrónico de phishing y un script que roba documentos PDF de una computadora infectada y los envía a un atacante a través de FTP.
Investigación de puntos de control
Mientras tanto, otros participantes del foro están publicando código que genera contenido malicioso de forma gratuita. “Aquí hay un pequeño script de bash para ayudarlo a evitar las restricciones de ChatGPT para poder usarlo para lo que quiera, incluido el desarrollo de malware;)”, escribió un usuario.
Investigación de puntos de control
El mes pasado, los investigadores de Check Point documentaron cómo se podría usar ChatGPT para escribir mensajes de malware y phishing.
“Durante diciembre y enero, todavía era fácil usar la interfaz de usuario web de ChatGPT para generar malware y correos electrónicos de phishing (la mayoría de las veces solo bastaba con una iteración básica), y basándonos en la conversación de los ciberdelincuentes, asumimos que la mayoría de los ejemplos que mostramos fueron creados usando la interfaz de usuario web”, escribió el investigador de Check Point Sergey Shykevich en un correo electrónico. “Últimamente, parece que los mecanismos contra el abuso en ChatGPT mejoraron significativamente, por lo que ahora los ciberdelincuentes cambiaron a su API, que tiene muchas menos restricciones”.
Los representantes de OpenAI, la empresa con sede en San Francisco que desarrolla ChatGPT, no respondieron de inmediato a un correo electrónico preguntando si la empresa estaba al tanto de los hallazgos de la investigación o si tenía planes para modificar la interfaz API. Esta publicación se actualizará si recibimos una respuesta.
La generación de malware y correos electrónicos de phishing es solo una de las formas en que ChatGPT está abriendo una caja de Pandora que podría bombardear el mundo con contenido dañino. Otros ejemplos de usos inseguros o poco éticos son la invasión de la privacidad y la generación de desinformación o tareas escolares. Por supuesto, los defensores pueden usar la misma capacidad de generar contenido dañino, poco ético o ilícito para desarrollar formas de detectarlo y bloquearlo, pero no está claro si los usos benignos podrán seguir el ritmo de los maliciosos.