OpenAI lanzó la última versión de su software de aprendizaje automático, GPT-4, a bombo y platillo esta semana. Una de las características que la empresa destacó de la nueva versión es que se suponía que tenía reglas que la protegían del uso por parte de ciberdelincuentes. Sin embargo, en cuestión de días, los investigadores afirman que lo engañaron para que creara malware y los ayudara a elaborar correos electrónicos de phishing, al igual que habían hecho con la iteración anterior del software de OpenAI, ChatGPT.
El lado positivo es que también pudieron utilizar el software para tapar agujeros en las ciberdefensas. Los investigadores de la empresa de ciberseguridad Check Point mostraron a Forbes cómo sortearon los bloqueos de OpenAI al desarrollo de malware simplemente eliminando la palabra «malware» en una solicitud. GPT-4 les ayudó a crear un software que recopilaba archivos PDF y los enviaba a un servidor remoto.
Y fue más allá, dando a los investigadores consejos sobre cómo hacerlo funcionar en un PC con Windows 10 y convertirlo en un archivo más pequeño, para que pudiera ejecutarse más rápidamente y tuviera menos posibilidades de ser detectado por el software de seguridad.
Cómo sortearon las barreras de GPT-4
Para que GPT-4 ayudara a crear correos electrónicos de phishing, los investigadores adoptaron dos enfoques. En el primero, utilizaron GPT-3.5, que no bloqueaba las solicitudes para crear mensajes maliciosos, para escribir un correo electrónico de phishing haciéndose pasar por un banco legítimo.ChatGPT, GPT-4, OpenAI, inteligencia artificial, IA
A continuación, solicitaron a GPT-4, que inicialmente se había negado a crear un mensaje de phishing original, que mejorara el lenguaje. En la segunda, pidieron consejo para crear una campaña de concienciación sobre phishing para una empresa y solicitaron una plantilla para un falso correo electrónico de phishing, que la herramienta les proporcionó debidamente.
«GPT-4 puede dotar a los malos actores, incluso a los no técnicos, de herramientas para acelerar y validar su actividad», señalan los investigadores de Check Point en su informe, entregado a Forbes antes de su publicación. «Lo que estamos viendo es que GPT-4 puede servir tanto a los buenos como a los malos actores. Los actores buenos pueden utilizar GPT-4 para elaborar y hacer código que sea útil para la sociedad; pero simultáneamente, los actores malos pueden utilizar esta tecnología de Inteligencia Artificial (IA) para la ejecución rápida de ciberdelitos».
Detalles del informe de Check Point
Sergey Shykevich, director del grupo de amenazas de Check Point, dijo que parecía que las barreras existentes para impedir que GPT-4 generara phishing o código malicioso eran en realidad menores que en versiones anteriores. Sugirió que esto puede deberse a que la empresa se basa en el hecho de que sólo los usuarios premium tienen acceso actualmente. No obstante, añadió que OpenAI debería haber previsto este tipo de soluciones. «Creo que están intentando evitarlas y reducirlas, pero es el juego del gato y el ratón», añadió.
Daniel Cuthbert, investigador de ciberseguridad y miembro del comité de revisión de la conferencia de hacking Black Hat, afirma que parece que GPT-4 podría ayudar a aquellos con pocos conocimientos técnicos a fabricar herramientas maliciosas. «Si se te dan muy mal las cosas, esto ayuda mucho. Te lo pone en bandeja», afirma.Continuar leyendo la historia