A aplicação da inteligência artificial ainda está em sua infância, mas já estamos vendo um grande efeito: a democratização do hacking.
O relatório anual Bugcrowd, Dentro da mente de um hacker 2023, examina as atitudes mantidas e os métodos usados pelo grupo de caçadores de insetos Bugcrowd. Este ano, o relatório enfoca o efeito e o uso de inteligência artificial (IA) por hackers.
Ele também fornece informações valiosas sobre como os hackers mal-intencionados empregarão a IA. Por enquanto, isso está centrado no uso de LLM GPTs, como o ChatGPT. Existem vários GPTs ‘especializados’ aparecendo, mas na maioria são invólucros do mecanismo GPT4. O ChatGPT continua sendo a principal ferramenta dos hackers.
Setenta e dois por cento dos hackers do Bugcrowd não acreditam que a IA algum dia replicará sua criatividade humana. Apesar disso, 64% já usam IA em seu fluxo de trabalho de hacking e outros 30% planejam fazê-lo no futuro. “Concordo plenamente com a maioria que [AI] não substituirá os pesquisadores/hackers de segurança”, afirma Timothy Morris, principal consultor de segurança da Tanium. “Hacking requer habilidade (AI tem isso), mas também criatividade que vem da compreensão do contexto (AI não tem isso). Embora a IA possa melhorar com o passar dos anos, não a vejo como uma substituta.”
No entanto, é a combinação da criatividade humana com o suporte ao fluxo de trabalho de IA que está mudando a cara do hacking – e embora isso seja bom nas mãos de hackers éticos, é preocupante nas mãos de hackers mal-intencionados.
De acordo com o relatório, que analisou cerca de 1.000 respostas de pesquisas de hackers na plataforma Bugcrowd, os hackers já estão usando e explorando o potencial da IA em muitas áreas diferentes. Os principais casos de uso atualmente são automatizar tarefas (50%), analisar dados (48%), identificar vulnerabilidades (36%), validar descobertas (35%), conduzir reconhecimento (33%), categorizar ameaças (22%), detectar anomalias (22%), priorização de riscos (22%) e modelos de treinamento (17%).
Para atingir esses fins, os hackers tratam a IA apenas como mais uma ferramenta em seu conjunto de ferramentas. O primeiro requisito é entender a ferramenta e o segundo é aprender a usá-la. Com o ChatGPT, isso se enquadra em duas categorias – entender como seu propósito designado pode ser usado de forma benéfica e aprender como dobrá-lo à vontade dos hackers em outro lugar.
O primeiro é usado principalmente para geração de relatórios e tradução de idiomas com velocidade e precisão. (Hackers mal-intencionados estão usando os mesmos recursos na produção de campanhas de phishing atraentes.)
O último é o uso de engenharia de prompt para ignorar os filtros do ChatGPT, projetados para impedir o uso malicioso ou ilegal da ferramenta. A engenharia de prompt é semelhante em conceito à engenharia social – enquanto a engenharia social é a capacidade de persuadir os usuários a fazerem algo que não deveriam, a engenharia de prompt é a capacidade de persuadir a IA a fazer algo que não deveria.
“Os hackers de elite veem a IA não como uma ameaça, mas como uma ferramenta que aumenta suas habilidades, proporcionando uma vantagem competitiva”, comenta Craig Jones, vice-presidente de operações de segurança da Ontinue. “A perspectiva deles demonstra uma relação simbiótica entre hackers e IA, onde a IA complementa e aprimora as habilidades criativas de resolução de problemas que definem a experiência dos hackers.”
Casey Ellis, fundador e CTO da Bugcrowd, acredita que devemos ver a chegada da IA no contexto da história do hacking. Os hackers estão usando o que está disponível – assim como fizeram com a chegada do Metasploit há 20 anos. Foi projetado para o bem, mas também usado para o mal. “O Metasploit foi uma benção para os caçadores”, disse ele, “mas eles ainda precisavam entender como usá-lo e aplicar sua própria criatividade em sua aplicação”.
Houve outros desenvolvimentos de ferramentas adotados por hackers desde então – mas a IA tem uma diferença fundamental. “As tecnologias que melhoram a eficiência de um hacker não são necessariamente tão fáceis de entender para o leigo”, continuou ele; “mas com o ChatGPT, todo mundo está falando sobre isso e usando.” A IA está igualmente disponível para ‘ainda não hackers’ e não tecnólogos.
Isso pode se tornar mais importante devido a outra descoberta do relatório – os hackers que se juntam ao Bugcrowd estão ficando mais jovens. O número de hackers com 18 anos ou menos dobrou no ano passado e 62% têm 24 anos ou menos.
Ellis observou que a abordagem de computação e segurança dos jovens de hoje é diferente das gerações anteriores. Os jovens de hoje cresceram usando a tecnologia, enquanto as gerações anteriores tiveram que aprender sobre ela. “Quando aprendi sobre hacking, fiquei muito preocupado com o encanamento da tecnologia e da internet”, disse Ellis. “Mas esse grupo de menores de 18 anos teve sua experiência com a internet abstraída na medida em que eles não estão necessariamente cientes de que ela está lá. Eles não entendem necessariamente a tecnologia, mas entendem a interface e a lógica de negócios e como explorar o design de sistemas e aplicativos de uma forma que eu provavelmente nunca entenderei.”
A IA poderá explorar a lógica de negócios com mais facilidade do que explorar falhas de codificação em aplicativos compilados. O efeito geral é que a IA fornecerá velocidade, escala e eficiência a todos, não apenas ao hacker tecnologicamente adepto tradicional. A IA introduz a democratização para o hacker e para o hacker em potencial.
Por enquanto, a maioria dos hackers está limitada pelas limitações do ChatGPT, mas devemos estar cientes de que nem sempre é esse o caso. O ChatGPT é treinado no conteúdo da Internet e aprende ainda mais com os dados que recebe por meio de prompts. Imagine o potencial de hacking de um GPT treinado por um estado-nação adversário no código-fonte dos aplicativos de destino e aprendendo não com o público em geral, mas com seu uso por hackers de estado-nação de elite.
Bugcrowd Dentro da mente do hacker demonstra a velocidade e a eficiência dos hackers na adoção de novas tecnologias para auxiliar sua caça e melhorar seus relatórios. Por enquanto, isso se traduz em escala – vulnerabilidades encontradas de forma criativa, armadas e exploradas com velocidade exponencialmente mais rápida. É provável que piore.