ChatGPT vient de créer un malware, et c’est vraiment effrayant

Hibou Gourou

Un novice autoproclamé aurait créé un puissant logiciel malveillant d'exploration de données en utilisant uniquement les invites ChatGPT , le tout en l'espace de quelques heures.

Aaron Mulgrew, chercheur en sécurité chez Forcepoint, a récemment partagé comment il a créé des logiciels malveillants de type « zero-day » exclusivement sur le chatbot génératif d'OpenAI . Alors qu'OpenAI dispose de protections contre toute personne tentant de demander à ChatGPT d'écrire du code malveillant, Mulgrew a trouvé une faille en invitant le chatbot à créer des lignes séparées du code malveillant, fonction par fonction.

Après avoir compilé les fonctions individuelles, Mulgrew avait créé un exécutable de vol de données presque indétectable sur ses mains. Et ce n'était pas non plus votre logiciel malveillant de variété de jardin – le logiciel malveillant était aussi sophistiqué que n'importe quelle attaque d'État-nation, capable d'échapper à tous les fournisseurs basés sur la détection.

De manière tout aussi cruciale, la façon dont le logiciel malveillant de Mulgrew diffère des itérations « régulières » de l'État-nation en ce sens qu'il ne nécessite pas d'équipes de pirates informatiques (et une fraction du temps et des ressources) pour se développer. Mulgrew, qui n'a fait aucun codage lui-même, a préparé l'exécutable en quelques heures seulement, contrairement aux semaines habituellement nécessaires.

Le malware Mulgrew (il sonne bien, n'est-ce pas ?) se déguise en une application d'économiseur d'écran (extension SCR), qui se lance ensuite automatiquement sur Windows. Le logiciel passera ensuite au crible les fichiers (tels que les images, les documents Word et les fichiers PDF) à la recherche de données à voler. La partie impressionnante est que le logiciel malveillant (par stéganographie) décomposera les données volées en plus petits morceaux et les cachera dans des images sur l'ordinateur. Ces images sont ensuite téléchargées dans un dossier Google Drive, une procédure qui évite la détection.

Tout aussi impressionnant est que Mulgrew a pu affiner et renforcer son code contre la détection à l'aide de simples invites sur ChatGPT, soulevant vraiment la question de la sécurité d'utilisation de ChatGPT . L'exécution des premiers tests VirusTotal a permis de détecter le logiciel malveillant par cinq des 69 produits de détection. Une version ultérieure de son code n'a ensuite été détectée par aucun des produits.

Notez que le logiciel malveillant créé par Mulgrew était un test et n'est pas accessible au public. Néanmoins, ses recherches ont montré avec quelle facilité les utilisateurs ayant peu ou pas d'expérience de codage avancée peuvent contourner les faibles protections de ChatGPT pour créer facilement des logiciels malveillants dangereux sans même entrer une seule ligne de code.

Mais voici la partie effrayante de tout cela : ces types de code prennent généralement des semaines à une plus grande équipe pour être compilés. Nous ne serions pas surpris si des pirates infâmes développent déjà des logiciels malveillants similaires via ChatGPT au moment où nous parlons.