O criador de uma nova aplicação de IA chamada FraudGPT afirma que a ferramenta pode ajudar a enganar as pessoas e tirar-lhes o seu dinheiro. A sua eficácia é questionável, mas pode ser apenas a ponta do icebergue da IA obscura.
Se pedir ao ChatGPT para escrever um e-mail que se faça passar por um banco para ser usado num esquema de phishing, ele recusará educadamente. O FraudGPT, o gémeo mau do ChatGPT, não tem problemas em ajudá-lo a fazer isso.
Os modelos proprietários de IA, como o ChatGPT e o Llama, têm protecções para impedir a sua utilização para fins maliciosos.
O criador do FraudGPT afirma que a sua ferramenta não tem qualquer tipo de reservas no que diz respeito ao crime e que escreverá de bom grado códigos de pirataria informática ou e-mails de burlões. E ele vende-lhe a ferramenta com todo o gosto, mediante uma subscrição.
WormGPT vs FraudGPT
No início de julho, os receios de segurança online aumentaram com o lançamento do WormGPT. Baseava-se num LLM chamado GPT-J, mas sem as protecções. O modelo não era nem de perto nem de longe tão competente como o GPT-3 ou o GPT-4, pelo que as mensagens de correio eletrónico maliciosas e o código que escrevia acabavam por ser coisas bastante básicas.
Logo a seguir veio o FraudGPT, que foi lançado há cerca de duas semanas. O criador do FraudGPT, conhecido como CanadianKingpin12, afirma que a nova ferramenta é baseada no GPT-3 e pode "criar malware indetetável".
Se tiver essa tendência, terá de o contactar (ou a ela?) na dark web e pagar $200 para aceder ao FraudGPT. CanadianKingpin12 afirma, e as capturas de ecrã parecem confirmar, que já realizou mais de 3.000 vendas.
Alguns vídeos no Youtube dão-lhe uma ideia do que o FraudGPT pode fazer.
Portanto, intenções maliciosas à parte, a demonstração em vídeo é um pouco desanimadora. Talvez ele tenha deixado as melhores partes de fora. Ou talvez se esteja a passar algo mais.
O FraudGPT está a burlar os burlões?
Ainda não jogámos com o FraudGPT, mas alguns profissionais de cibersegurança que o verificaram não estão a perder o sono por causa dele.
Em resposta a um pedido do FraudGPT para escrever uma mensagem de texto de spam para defraudar os clientes do Bank of America, o FraudGPT deu este resultado: "Caro membro do Bank of America: Por favor, verifique este link importante para garantir a segurança da sua conta bancária online".
Sim, não é exatamente o nível de vilão do Bond.
Melissa Bischoping, investigadora da empresa de cibersegurança Tanium, afirmou: "Não vi nada que sugira que isto seja assustador".
A sua opinião sobre as pessoas que estão por detrás do FraudGPT é que "estão a aproveitar-se de pessoas que não são suficientemente sofisticadas para escrever o seu próprio malware, mas que querem ganhar dinheiro rápido".
Pode ser isso que está a acontecer aqui. Apenas alguns aspirantes a hackers/trapaceiros a fingir que são mauzões usando uma IA marota, sem conseguirem obter muito retorno.
Mas aponta para dois desenvolvimentos preocupantes. Em primeiro lugar, há pessoas a trabalhar na criação de ferramentas de cibercrime com IA como esta. E, em segundo lugar, há um mercado pronto para elas.
Entrar DarkBART e DarkBERT
CanadianKingpin12 diz: "Mas esperem, há mais!" Diz que agora está pronto para oferecer novas ferramentas de IA para o cibercrime, chamadas DarkBART e DarkBERT.
O DarkBART é, aparentemente, uma versão obscura do Bard AI da Google. Pensamos que será semelhante ao FraudGPT, mas com o LLM da Google em vez do GPT-3. Será que é bom a ser mau? Ainda não sabemos.
DarkBERT é um pouco mais interessante. Pode não ser uma ferramenta nova que o CanadianKingpin12 tenha criado. Pode ser apenas que ele tenha deitado as mãos a um LLM com esse nome que foi criado por um legítimo investigadores na Coreia do Sul.
Esse modelo foi treinado com base num conjunto de dados da Dark Web, muitos dos quais seriam coisas verdadeiramente desagradáveis, incluindo muitos dados sobre pirataria informática, ransomware e burlas. Foi concebido com a intenção de detetar e lidar com ameaças cibernéticas.
Pode solicitar o acesso à ferramenta, mas apenas se tiver um endereço de correio eletrónico de uma instituição académica. Não é exatamente um método de rastreio infalível.
Ou o canadianoKingpin12 deitou as mãos ao DarkBERT e o ajustou, ou é algo completamente diferente. De qualquer forma, ele ficou feliz em mostrá-lo brevemente neste vídeo.
Estará ele a divertir-se e a gostar de enganar os burlões? Esperemos que sim. Mas a procura e o desenvolvimento de ferramentas de cibercrime com IA é inquestionável. À medida que os países avançam para Armas de IAPodemos ter a certeza de que os criminosos também estão a adicionar a IA ao seu arsenal.
Provavelmente, já existem algumas ferramentas de cibercrime com IA muito boas disponíveis na Dark Web, se soubermos a quem perguntar. CanadianKingpin12 não parece ser uma dessas pessoas.
