Il recente lancio in Italia di Google Bard ha costituito l’occasione per evidenziare quali siano i punti di forza del chatbot messo a punto da bigG, ma vale la pena anche affrontare l’altro lato della medaglia, i suoi potenziali impieghi malevoli. Come già visto in più occasioni in relazione a ChatGPT, anche questo strumento di IA generativa può rappresentare un’arma potente se posta nelle mani dei cybercriminali.
IA e cybercriminali: gli impieghi malevoli di Google Bard
Prendiamo come riferimento lo studio condotto da Check Point Research e segnalatoci in redazione attraverso un comunicato stampa. Stando a quanto si legge, il team ha riscontrato diversi limiti alla sicurezza della piattaforma, che permette ai criminali informatici di compiere azioni dannose
.
Nel concreto, i ricercatori sono stati in grado di generare email di phishing dimostrando la presenza di poche (o nessuna) restrizioni applicate alle richieste con tale finalità. Ancora, ha potuto creare un malware keylogger, ovvero un virus della tastiera da utilizzare per monitorare l’attività delle vittime registrando ogni tasto premuto su un dispositivo. Infine, Bard è stato capace di restituire il codice di base di un ransomware.
Va detto che il chatbot non sempre assolve al compito richiesto. Anzi, talvolta si rifiuta categoricamente di eseguire l’operazione assegnata. Con il prompt giusto, però, si oltrepassa l’ostacolo imposto da Google. Qui sotto, ad esempio, uno screenshot dell’input inviato per ottenere un codice Python che applica una crittografia ai file, posizione un file readme.txt
con istruzioni da seguire sul desktop e sostituisce l’immagine di sfondo con una indicata.
Ecco quali sono le conclusioni di CPR, che mette a confronto il comportamento di Bard e quello di ChatGPT per quanto riguarda l’efficacia delle restrizioni anti-abuso poste in essere dalle rispettive software house. Le elenchiamo così come riportate nel comunicato.
- Le restrizioni anti-abuso di Bard nel campo della cybersicurezza sono significativamente più blande rispetto a quelle di ChatGPT. Di conseguenza è molto più facile generare contenuti malevoli sfruttando le capacità di Bard.
- Bard non impone praticamente alcuna restrizione sulla creazione di email di phishing lasciando così spazio a possibili utilizzi illeciti di questa tecnologia.
- Con manipolazioni minime, Bard può essere utilizzato per sviluppare malware per keylogging, il che rappresenta un problema per la sicurezza.
- I test svolti da CPR hanno dimostrato che è possibile creare codice ransomware basilare ricorrendo alle capacità di Bard.
In sostanza, Google è chiamata e colmare il gap (anche) su questo fronte. Dopotutto, erano emerse criticità simili anche per il chatbot di OpenAI durante la sua prima fase post-lancio.