Por Mesmo com os avanços da tecnologia, um assunto que está vindo à tona é inevitável: os vírus de IA. As inteligências artificiais, como qualquer outro serviço digital, está sujeita a ameaças e ataques criminosos.
E isso se comprovou em um experimento recente, no qual um grupo de pesquisadores desenvolveu o primeiro worm capaz de infectar modelos generativos e se espalhar entre eles, potencialmente sendo utilizado para disseminar malwares ou roubar dados.
Embora seja um teste de controle, os responsáveis acreditam que é apenas uma questão de tempo até que as primeiras ameaças de hackers surjam, especialmente considerando que as IAs generativas estão atualmente em alta popularidade.
O experimento, liderado por pesquisadores da Universidade de Cornell, Instituto de Tecnologia de Israel e a empresa de desenvolvimento Intuit, foi conduzido em um ambiente controlado e isolado.
No entanto, isso não elimina a possibilidade de vírus e outras pragas digitais surgirem com o tempo e se disseminarem pela internet.
O objetivo da pesquisa foi destacar as vulnerabilidades fundamentais das IAs generativas, que certamente serão exploradas por indivíduos mal-intencionados.
Via Freepik
Experimento
O worm em questão, denominado Morris II em referência ao famoso incidente que afetou a Internet em 1988, teve como alvo Modelos de Linguagem de Máquinas (LLMs) generativos de texto, como assistentes de IA voltados para e-mails.
Ele explora os prompts, que são sequências de comandos e ordens em texto fornecidas pelos usuários aos algoritmos, para que estes executem determinadas ações.
Os alvos foram três LLMs específicos: o Gemini Pro do Google, o ChatGPT 4.0 e o LLaVA. O worm possuía duas modalidades: spam e coleta de dados pessoais.
Ele utiliza o método “prompt adversário autorreplicante”, que basicamente envolve o envio de um prompt ao LLM para induzi-lo a criar novas instruções, similar a um ataque de injeção de SQL.
O experimento consistiu na criação de um sistema de e-mail que utiliza LLMs para enviar e receber mensagens, e o ataque aconteceu de duas maneiras.
Em uma delas, o prompt malicioso seguiu diretamente em um e-mail enviado aos modelos. Enquanto isso, na outra, o prompt se incorporou a uma imagem.
No ataque com o e-mail “envenenado”, o prompt infecta o algoritmo usando a técnica de Geração Aumentada de Recuperação (RAG), que busca recursos de outras fontes além dos dados do modelo para otimizar as respostas.
Quando o RAG recupera a resposta e a envia para o algoritmo, ele consegue superar as proteções e roubar dados pessoais dos e-mails, que se armazenam no modelo e seguem quando o algoritmo se ativa para responder às solicitações de outros usuários.
Tanto o prompt em texto quanto a imagem seguiram adiante.
Confirmando o que se sabia
Via Freepik
Não é surpresa que vírus e ataques diversos possam comprometer modelos individuais. Diversos alertas já existem, vindos de especialistas em segurança.
No entanto, o Morris II representa uma ameaça ainda mais significativa, pois é uma ferramenta desenvolvida para se propagar entre usuários e diferentes Modelos de Linguagem de Máquinas (LLMs), podendo afetar todo o ecossistema de modelos generativos.
Uma vez que os modelos generativos recebem vírus de IA, eles podem realizar uma variedade de atividades maliciosas. Por exemplo, a coleta de dados dos usuários, disseminação de vírus, malwares, publicidade e spam, geração de respostas com conteúdo tóxico, ou entrega de imagens distorcidas, entre outras ações.
Ben Nassi, pesquisador da Cornell Tech e um dos autores do estudo, destaca que os dados incluem informações extremamente sensíveis, como números e códigos de segurança de cartões de crédito, números de documentos, endereços e números de telefone.
Vírus de IA é uma questão de tempo
Os pesquisadores reconhecem que sua investigação conseguiu contornar as defesas dos modelos de linguagem do Google e da OpenAI, assim como do LLaVA, que é de código aberto.
Em outras palavras, os Modelos de Linguagem de Máquinas (LLMs) são vulneráveis devido à prática comum e descuidada de não sanitização adequada dos dados.
Isso explica por que ataques simples ainda ocorrem. A crítica de dados é uma habilidade pouco desenvolvida, e muitos continuam adotando a abordagem “XGH”, que é a metodologia mais simples e amplamente implementada.
Em uma era em que inteligências artificiais estão começando a programar por si próprias, poucos compreendem profundamente o funcionamento interno dos programas e algoritmos.
Não se espera que um leigo que utilize assistentes de IA, como o ChapGPT, tenha conhecimento profundo de programação, mas isso é uma exigência diferente para profissionais de Segurança da Informação.
O consenso entre especialistas é que, apesar do teste controlado, a presença do vírus de IA deve alertar as empresas. Não irá demorar para os hackers começarem a explorar essas possibilidades.
Portanto, é crucial que os responsáveis pelos modelos comecem a fortalecer as defesas de seus algoritmos imediatamente.
Fonte: MeioBit
Comentários