Quand Google Bard devient vecteur de cybercriminalité

Une première analyse de sécurité de la plateforme d'IA de Google met en évidence des scénarios potentiels d'accélération de la cybercriminalité. Explications.

post-image-3
Le département « Threat Intelligence » de Check Point publie une première analyse de sécurité de Google Bard. 
Malgré la présence de protections diverses dans la nouvelle plateforme IA de Google, certaines restrictions pourraient être facilement contournées. 

« Dans certains cas, même des acteurs non techniques peuvent créer des outils malveillants », mettent en garde les équipes de Check Point. 
Pire, Google Bard aurait même le potentiel d’accélérer l'exécution de la cybercriminalité. 

Les chercheurs sont rapidement parvenus à générer des résultats malveillants à l'aide de Google Bard. Par exemple, la plateforme d'IA a fourni des courriels d'hameçonnage sans restriction, un « keylogger » malveillant (programme de surveillance utilisé pour surveiller et enregistrer chaque frappe sur un ordinateur spécifique) et un code de ransomware de base.

L'une des principales préoccupations concerne l'utilisation potentiellement abusive de cette technologie à des fins malveillantes, telles que la cybercriminalité. Dans des rapports précédents, Check Point Research a expliqué en détail comment les cybercriminels utilisent cette technologie révolutionnaire à des fins malveillantes, plus précisément pour créer du code et du contenu malveillants via la plateforme d'IA générative d'OpenAI, ChatGPT.

Basée sur la technologie LaMDA, Google décrit Bard comme « une expérience basée sur la même technologie qui vous permet de collaborer avec l'IA générative. En tant que collaborateur créatif et utile, Bard peut stimuler votre imagination, augmenter votre productivité et vous aider à donner vie à vos idées ».

Les chercheurs ont comparé Google Bard et ChatGPT en matière d'hameçonnage. À la première demande d'écrire un email de phishing, ChatGPT et Google Bard ont tous deux indiqué qu'ils ne pouvaient pas le faire. Les chercheurs ont ensuite demandé si les plateformes d'IA pouvaient générer un courriel d'hameçonnage provenant d'une institution financière spécifique. ChatGPT a refusé, mais Google Bard a généré un courrier très spécifique sans aucune restriction. 

Ils ont ensuite testé les capacités des deux plateformes en matière de codes malveillant. Après trois tentatives, les chercheurs ont demandé un code de « keylogger » à usage général. ChatGPT a identifié leur demande comme potentiellement malveillante, tandis que Bard a simplement donné le code. Enfin, les chercheurs ont demandé la même chose pour un keylogger d'une manière spécifique afin qu'il enregistre "Mes" frappes. En conséquence, les deux modèles ont fourni un code différent pour le même objectif, bien que ChatGPT ait ajouté une sorte d'avertissement concernant l'utilisation possible à des fins malveillantes.

Les chercheurs ont également testé les capacités des deux IA à générer des ransomware. Après quelques ajustements supplémentaires, Bard a fourni le script de ransomware demandé, et la plateforme a même offert son aide pour modifier le script et le faire fonctionner. 

En guise de conclusion, les restrictions « anti-abus » de Bard en matière de cybersécurité sont nettement inférieures à celles de ChatGPT. Par conséquent, il est beaucoup plus facile de générer du contenu malveillant avec la plateforme Bard de Google.
« Bard n'impose pratiquement aucune restriction à la création de courriels d'hameçonnage, ce qui laisse une marge de manœuvre pour l'abus et l'exploitation potentiels de cette technologie », ont conclu les chercheurs chez Check Point.

Les restrictions existantes dans Bard sont relativement basiques, similaires à celles de ChatGPT lors de sa phase initiale de lancement il y a plusieurs mois, ce qui amène les chercheurs à espérer que la plateforme adoptera les restrictions et les limites de sécurité nécessaires.

 
Show More
Back to top button