IA é capaz de encontrar falhas de segurança em softwares
A inteligência artificial está revolucionando a identificação de falhas de segurança em softwares, além de elevar a novos patamares a automação de ataques.
A evolução da inteligência artificial (IA) tem trazido inúmeros benefícios para diversos setores, mas também apresenta desafios significativos.
Isso é especialmente válido na área de segurança cibernética, na qual há uma linha muito tênue entre estar do lado do bem ou do mal.
Basicamente, white hat hackers, gray hat hackers e black hat hackers trabalham com os mesmos objetivos: identificar vulnerabilidades.
O que muda é o uso que cada um desses hackers faz ao identificar vulnerabilidades. White hat hackers trabalham de maneira legal para corrigir tais falhas e minimizar as chances de uma invasão.
Por outro lado, black hat hackers são criminosos que querem se aproveitar das brechas de segurança para roubar dados, espalhar malware ou causar danos, geralmente para buscar uma compensação financeira.
Já os gray hat hackers estão no limite entre o certo e o errado. Identificam vulnerabilidades em sistemas sem autorização e podem ou não informar aos proprietários. Às vezes, exigem uma recompensa pela correção da falha ou a divulgam publicamente.
Independentemente da intenção, todos os três utilizam conhecimentos e ferramentas iguais, e a IA está no meio disso, podendo ser um aliado para inibir crimes cibernéticos, mas também com potencial para explorar toda uma nova gama de vulnerabilidades.
Recentemente, estudos conduzidos por cientistas da Universidade de Illinois revelaram a capacidade do GPT-4, desenvolvido pela OpenAI, em explorar falhas de segurança em softwares com uma eficiência impressionante.
Poder do GPT-4 na exploração de vulnerabilidades
O estudo destacou que o GPT-4 conseguiu explorar 87% das falhas de segurança testadas, superando os resultados obtidos pelo seu predecessor, o GPT-3.5, e várias outras IAs, que falharam em todos os testes.
O GPT-4 foi alimentado com relatórios detalhados de vulnerabilidades críticas, extraídos de bases de dados como a Common Vulnerabilities and Exposures (CVE), e autorizado a buscar informações adicionais na internet.
Os pesquisadores testaram 15 falhas de segurança em diferentes sistemas, incluindo servidores e modems.
GPT-4 foi testado para explorar falhas de softwares – Imagem: DALL-E/Reprodução
WordPress afetado por vulnerabilidades
O GPT-4 não só compreendeu as vulnerabilidades, mas gerou códigos que, se executados, poderiam invadir os sistemas vulneráveis.
Esses testes foram realizados ao longo de um período controlado, o que permitiu uma análise aprofundada e detalhada das capacidades do GPT-4.
Limitações da IA e futuro da exploração de falhas
Apesar das capacidades avançadas, o GPT-4 ainda apresenta limitações, ele foi eficaz apenas em explorar vulnerabilidades conhecidas e fornecidas nos relatórios. Quando se tratou de identificar novas falhas, a taxa de sucesso caiu para 7%.
Isso sugere que, pelo menos por enquanto, a IA depende fortemente das informações previamente documentadas por humanos.
No entanto, a perspectiva futura é preocupante, espera-se que futuras versões da IA, como o potencial GPT-5, desenvolvam habilidades mais sofisticadas não só na exploração, mas também na descoberta de novas vulnerabilidades.
Isso poderia transformar a IA em uma ferramenta poderosa tanto para a segurança cibernética quanto para a guerra cibernética.
No fim, a tecnologia não representa uma ameaça para a carreira de cibersegurança, mas sim uma mudança de paradigma que exigirá desses profissionais preparação para utilizar tais ferramentas para o bem.
O professor de economia do MIT, Richard Bookstaber diz que:
“Nenhum homem é melhor do que uma máquina. E nenhuma máquina é melhor do que um homem com uma máquina.”
Comentários estão fechados.