De acordo com a empresa de gerenciamento de vulnerabilidades e riscos Vulcan Cyber, invasores podem manipular o ChatGPT para distribuir pacotes maliciosos para desenvolvedores de software.
Deixe-me lembrá-lo que também dissemos que Bate-papoGPT tornou-se uma nova ferramenta para cibercriminosos em engenharia social, e também isso ChatGPT causa nova onda de Artigos de lã.
Os especialistas em SI também notaram que Hackers amadores usam ChatGPT para criar malware.
O problema está relacionado às alucinações de IA que ocorrem quando o ChatGPT gera informações factualmente incorretas ou sem sentido que podem parecer plausíveis. Vulcano pesquisadores notaram que ChatGPT, possivelmente devido ao uso de dados de treinamento desatualizados, bibliotecas de código recomendadas que não existem atualmente.
Os pesquisadores alertaram que os cibercriminosos poderiam coletar os nomes desses pacotes inexistentes e criar versões maliciosas que os desenvolvedores poderiam baixar com base nas recomendações do ChatGPT..
Em particular, Pesquisadores vulcanos analisaram questões populares sobre o Estouro de pilha plataforma e fiz essas perguntas do ChatGPT no contexto de Python e Node.js.
Esquema de ataque
Especialistas perguntaram ao ChatGPT 400 questões, e sobre 100 de suas respostas continham links para pelo menos um pacote Python ou Node.js que na verdade não existe. No total, mais do que 150 pacotes inexistentes foram mencionados nas respostas do ChatGPT.
Conhecer os nomes dos pacotes recomendados pelo ChatGPT, um invasor pode criar cópias maliciosas deles. Porque é provável que a IA recomende os mesmos pacotes a outros desenvolvedores que façam perguntas semelhantes, desenvolvedores desavisados podem encontrar e instalar uma versão maliciosa de um pacote carregado por um invasor em repositórios populares.
Cibernético Vulcano demonstrou como esse método funcionaria em um ambiente do mundo real criando um pacote que pode roubar informações do sistema de um dispositivo e carregá-las no registro NPM.
Considerando como os hackers atacam a cadeia de suprimentos implantando pacotes maliciosos em repositórios conhecidos, é importante que os desenvolvedores verifiquem as bibliotecas que usam para ter certeza de que estão seguras. As medidas de segurança ganham ainda mais importância com o surgimento do ChatGPT, que pode recomendar pacotes que realmente não existem ou que não existiam antes de os invasores os criarem.