Desde que ChatGPT comenzó a popularizarse se ha hablado largo y tendido sobre las posibles consecuencias y riesgos de la inteligencia artificial generativa para la ciberseguridad.
Ahora la firma de gestión de vulnerabilidades Vulcan Cyber ha descubierto que los actores de amenazas podrían manipular chatbots de IA como el de Open AI para ayudarlos a distribuir paquetes de códigos maliciosos a los desarrolladores de software.
Los investigadores de seguridad han hallado que el problema está relacionado con las invenciones que ocurren cuando una inteligencia artificial que se sirve de modelos de lenguaje grandes (LLM) genera información objetivamente incorrecta o sin sentido que pueda parecer creíble.
Al usar ChatGPT datos más antiguos para su entrenamiento, puede recomendar bibliotecas de códigos que actualmente no existen.
Aquí es donde entra en juego la 'picaresca' de los ciberdelincuentes. Podrían recopilar los nombres de esos paquetes inexistentes y crear versiones maliciosas que los desarrolladores los descarguen bajo la recomendación de ChatGPT.
Así preguntaron a ChatGPT
Para realizar este descubrimiento los investigadores de Vulcan procedieron al análisis de preguntas populares en la plataforma de codificación Stack Overflow y le hicieron esas preguntas a la inteligencia artificial de OpenAPI en el contexto de Pyton y Node.js.
Los investigadores le formularon a ChatGPT más de 400 preguntas y 100 de sus respuestas incluían referencias a al menos un paquete de Pythn o Node.js que en realidad no existía. Las respuestas de ChatGPT aludieron a más de 150 paquetes inexistentes en total.