Les développeurs de ChatGPT ont fixé des limites par rapport aux invites soumises à l’outil d’IA pour éviter d’éventuelles dérives de la part des utilisateurs. L’outil par exemple ne peut répondre à une demande de création de code malveillant. Des chercheurs viennent pourtant de découvrir sa capacité à créer un malware sans code malveillant qui échappe efficacement aux logiciels de détection.
ChatGPT crée des malwares sans code malveillant
Depuis la démocratisation de ChatGPT, les experts reconnaissent toutes les capacités absolument hallucinantes de cet outil d’IA générative. En parallèle, il avertissent les utilisateurs (et même les développeurs) de ses dangers, parmi lesquels sa capacité à créer des malwares.
Initialement, ChatGPT ne peut pas répondre à une requête de création de code malveillant. Néanmoins, les chercheurs webzine tech ArsTechnica rapportent que des hackers vendent des services ChatGPT exempts de règles qui créent des malwares et produisent des emails de phishing.
Les chercheurs de la société américaine de cybersécurité CyberArk affirment de leur côté ChatGPT AI peut créer des logiciels malveillants très avancés qui ne contiennent aucun code malveillant. Grâce à quoi, les malwares échappent facilement aux logiciels de détection.
Des malwares polymorphes difficiles à détecter
Toujours selon les chercheurs de CyberArk, ces malwares générés par ChatGPT sont aussi polymorphes. Les logiciels malveillants polymorphes modifient généralement leur apparence à chaque itération pour échapper aux logiciels antivirus.
Les logiciels malveillants polymorphes fonctionnent de deux manières. Premièrement, le code mute ou se modifie légèrement à chaque itération à des fins de camouflage. Deuxièmement, le code malveillant peut avoir des composants cryptés qui rendent le malware plus difficile à analyser et à détecter pour les programmes antivirus.
Dans leurs recherches, l’équipe a utilisé la version API de ChatGPT au lieu de la version Web. Avec ce processus, le système n’utilisait pas son filtre de contenu, ce qui leur a permis de créer un programme polymorphe par création et mutation continues d’injecteurs.
Développer une vaste gamme de logiciels malveillants
Les chercheurs affirment qu’en utilisant la capacité de ChatGPT à générer différentes techniques de persistance, des charges utiles malveillantes et des modules anti-VM (machine virtuelle de détection), les attaquants peuvent développer une vaste gamme de logiciels malveillants.
Meta released its advanced AI model, LLaMA, w/seemingly little consideration & safeguards against misuse—a real risk of fraud, privacy intrusions & cybercrime. Sen. Hawley & I are writing to Meta on the steps being taken to assess & prevent the abuse of LLaMA & other AI models. pic.twitter.com/vDyJbuWSlJ
— Richard Blumenthal (@SenBlumenthal) June 6, 2023
« L’utilisation de l’API de ChatGPT dans les logiciels malveillants peut présenter des défis importants pour les professionnels de la sécurité. Il est important de se rappeler qu’il ne s’agit pas seulement d’un scénario hypothétique, mais d’une préoccupation très réelle », expliquent les chercheurs.
Risque sur la vie privée et les données personnelles, menace sur des milliers d’emploi, perturbation de l’éducation… Les experts ont déjà évoqué tous les dangers potentiels de ChatGPT. Ils ajoutent aux problèmes la possibilité pour les acteurs malveillants d’utiliser l’outil pour produire des malwares et mener des campagnes d’escroqueries à une échelle sans précédent.
- Partager l'article :
Rien de neuf il y as déjà 15 ans (quand j’étais ado) j’avais averti les éditeurs de logiciels antivirus qu’il était facile de contourner les moyens de détection en appliquant un ou plusieurs encodage. J’ai jamais eu de réponse et jamais vu de changement