A inteligência artificial já afeta inúmeros aspectos da nossa vida — e isso ocorre há décadas. Para o bem ou para o mal, isso não vai mudar. No entanto, conforme a IA se torna mais avançada e mais integrada à estrutura de nossa realidade diária, é essencial que as organizações avaliem de forma realista todo o potencial da IA como ferramenta e como ameaça.
A IA permite que mocinhos e bandidos trabalhem mais rápido, em maior escala
A predominância do aprendizado de máquina nos negócios faz com que ela seja uma ferramenta e um alvo atraentes
A empolgação com a IA pode encobrir os riscos
O escopo das novas ameaças é imenso e variado
Serão necessárias novas abordagens de segurança orientadas por IA para combater as ameaças que ela irá gerar.
Parte da dificuldade de prever as verdadeiras implicações da tecnologia de IA generativa é o imenso burburinho ao seu redor. O termo se tornou até mesmo uma espécie de clichê. Quer lotar um auditório em um evento de tecnologia? Inclua “IA” no título da sua apresentação. Quer chamar atenção para um recurso de aprendizado de máquina em seu software? Apresente-o como “IA”. O efeito indesejado de tudo isso é encobrir a realidade da tecnologia, sensacionalizando os benefícios e os perigos e, ao mesmo tempo, anestesiando muitas pessoas quanto ao assunto como um todo.
Um problema adicional é que muitas pessoas — especialmente aquelas sem grandes conhecimentos técnicos — não entendem muito bem o que é a IA.
Em termos simples, a inteligência artificial é exatamente o que parece: o uso de sistemas de computador para simular processos de inteligência humana.
Exemplos: processamento de linguagem, reconhecimento de voz, sistemas especializados e visão de máquina.
Sistemas de computador regidos por algoritmos que lhes permitem aprender e se adaptar automaticamente após terem sido treinados com um conjunto de dados.
Exemplos: algoritmos de recomendação de conteúdo, análise preditiva, reconhecimento de imagens
Uma técnica do aprendizado de máquina que usa camadas de algoritmos e unidades de computação para simular uma rede neural como o cérebro humano.
Exemplos: grandes modelos de linguagem (LLM), tradução, reconhecimento facial
Content authenticity
Identity manipulation
Phishing with dynamite
Prompt injection
Machine Hallucinations
Attack sophistication
Custom malware
Poisoned data
Privacy leaks
Autenticidade do conteúdo
A IA generativa tem a capacidade de criar cópias de conteúdo original que são extremamente realistas. Além dos possíveis riscos à propriedade intelectual para organizações que usam a IA na geração de conteúdo, isso também permite que pessoas mal-intencionadas roubem e copiem todo tipo de dados de forma realista; depois, eles podem ser apresentados como uma criação original ou ser usados para facilitar outros ataques.
Manipulação de identidade
A IA generativa pode criar imagens e vídeos ultrarrealistas em segundos, e até mesmo alterar vídeo ao vivo conforme ele é gerado. Isso pode reduzir a segurança de diversos sistemas vitais — desde software de reconhecimento facial até provas em vídeo no sistema jurídico e desinformação política — e comprometer a confiança em praticamente todas as formas de identidade visual.
Phishing usando dinamite
Os invasores podem usar ferramentas de IA generativa para simular rostos, vozes e estilo de escrita de forma realista, além de emular identidade corporativa ou de marca, o que pode vir a ser usado em ataques de phishing extremamente eficazes e difíceis de detectar.
Injeção de prompts
Como muitas organizações estão usando modelos de IA generativa disponíveis no mercado, elas potencialmente expõem as informações usadas para treinar ou instruir a sua instância a ataques de injeção refinados por invasores que visam os modelos mais usados. Sem proteções rígidas e atualizações frequentes, uma exploração do modelo de base pode expor qualquer organização que use esse modelo.
Alucinações de máquina
Embora a IA possa produzir texto ou voz convincentes com rapidez, nem sempre eles são precisos. Isso é especialmente problemático para organizações que dependem da IA para gerar conteúdo informativo ou de suporte para os usuários, além de organizações que usam o aprendizado de máquina para a detecção de ameaças, para a qual um resultado anômalo pode ser especialmente custoso.
Sofisticação dos ataques
Como a IA pode escrever código funcional com velocidade superhumana, ela poderia ser usada para expandir o alcance dos ataques com velocidade e complexidade inéditas. Além disso, a IA pode ser usada para detectar vulnerabilidades em uma base de código comprometida e expandir o escopo dos invasores ao reduzir a barreira de entrada.
Malware personalizado
Embora os LLMs mais conhecidos tenham alguma proteção contra a criação de código mal-intencionado, invasores sofisticados podem descobrir explorações e brechas. Essas proteções podem estar ausentes de modelos roubados ou copiados, permitindo que pessoas mal-intencionadas gerem rapidamente explorações altamente personalizáveis e quase impossíveis de detectar.
Dados envenenados
Os ataques não precisam necessariamente explorar a própria IA. Em vez disso, podem visar os dados usados para treinar um modelo de aprendizado de máquina para criar uma saída falsa. Depois, ela pode ser usada para criar explorações no próprio modelo, como a falsificação de uma sequência de DNA em um banco de dados de criminosos, ou simplesmente para produzir resultados prejudiciais à organização visada.
Vazamentos de privacidade
A IA que é treinada com dados confidenciais ou que os utiliza pode vir a expor esses dados, seja por meio de um bug, como aconteceu com vários dos principais modelos comerciais, ou por um ataque direcionado.
Pedimos ao ChatGPT que listasse as principais ameaças apresentadas pela IA generativa. Esta foi a resposta:
A IA generativa, embora ofereça potencial incrível para inovação e criatividade, também apresenta ameaças e desafios únicos no campo da cibersegurança. Estes são alguns pontos a considerar:
Os recursos que tornam a IA uma ferramenta útil para os criminosos podem — e devem — ser usados para fortalecer medidas de cibersegurança. Isso não só permite às organizações desenvolver tecnologias de cibersegurança mais ágeis e eficazes, mas também tratar as vulnerabilidades humanas de forma mais correta.