Em apenas três meses, o hacking alimentado por IA passou de um problema novo a uma ameaça em todo o setor, de acordo com um relatório do Google.
As descobertas do grupo de inteligência de ameaças do Google contribuem para a intensificação da discussão global sobre como os mais recentes modelos de IA são altamente adeptos da codificação – e estão se tornando ferramentas poderosas para explorar vulnerabilidades em uma ampla variedade de sistemas de software.
O relatório conclui que os grupos criminosos, bem como os intervenientes ligados ao Estado da China, da Coreia do Norte e da Rússia, parecem estar a utilizar amplamente modelos comerciais – incluindo Gemini, Claude e ferramentas da OpenAI – para refinar e dimensionar os ataques.
“Existe um equívoco de que uma corrida pela vulnerabilidade da IA é iminente. A realidade é que ela já começou”, disse John Hultquist, analista-chefe do grupo.
“Os atores de ameaças estão usando IA para aumentar a velocidade, escala e sofisticação de seus ataques. Isso lhes permite testar suas operações, defender-se contra alvos, criar malware melhor e fazer muitas outras melhorias.”
No mês passado, a empresa de IA Anthropic recusou-se a lançar um dos seus mais recentes modelos, o Mythos, depois de afirmar que tinha capacidades extremamente poderosas e representava uma ameaça para governos, instituições financeiras e para o mundo em geral se caísse em mãos erradas.
Especificamente, a Anthropic disse que a Mythos descobriu vulnerabilidades de dia zero em “todos os principais sistemas operacionais e todos os principais navegadores da web” – um termo para fraquezas em produtos que eram anteriormente desconhecidos por seus desenvolvedores.
A empresa disse que a descoberta exigiu “uma ação defensiva coordenada substancial em toda a indústria”.
No entanto, um relatório do Google descobriu que um grupo criminoso quase explorou recentemente uma vulnerabilidade de dia zero para realizar uma campanha de “exploração em massa” – e que este grupo parece estar a usar uma IA de modelo de linguagem grande (LLM) que não é Mythos.
O relatório também descobriu que muitos grupos estão “experimentando” o OpenClaw, uma ferramenta de IA que se tornou viral em fevereiro por oferecer a seus usuários a capacidade de entregar grande parte de suas vidas a um agente de IA sem barreiras de proteção e com uma tendência desagradável de excluir caixas de entrada de e-mail em massa.
Steven Murdoch, professor de engenharia de segurança na University College London, disse que as ferramentas de IA podem ajudar o lado defensivo da segurança cibernética – assim como os hackers.
“É por isso que não estou em pânico. Em geral, atingimos o estágio em que as antigas formas de encontrar bugs desapareceram, e agora tudo será ajudado por um LLM. Vai demorar um pouco até que as consequências disso desapareçam”, disse ele.
No entanto, se a IA ajudar hackers ambiciosos a atingir os seus objetivos de produtividade, ainda há dúvidas se ela impulsionará a economia em geral.
O Instituto Ada Lovelace (ALI), um organismo independente de pesquisa em IA, alertou contra a suposição de bilhões de libras em melhorias de produtividade do setor público provenientes da IA. O governo do Reino Unido estima poupanças e ganhos de produtividade de 45 mil milhões de libras provenientes do investimento do setor público em ferramentas digitais e IA.
Num relatório publicado na segunda-feira, a ALI afirmou que a maior parte da investigação sobre melhorias de produtividade relacionadas com a IA refere-se a poupanças de tempo ou reduções de custos, mas não analisa resultados como melhores serviços ou melhoria do bem-estar dos trabalhadores.
Outros aspectos problemáticos da investigação incluem: se as eficiências projectadas relacionadas com a IA no local de trabalho realmente funcionam no mundo real; números de manchete que obscurecem resultados variados no uso de IA em diversas tarefas; e não tem em conta o impacto no emprego no sector público e na prestação de serviços.
“As estimativas de produtividade que informam as principais decisões governamentais sobre IA baseiam-se por vezes em suposições não testadas e baseiam-se em metodologia cujas limitações nem sempre são apreciadas por aqueles que utilizam os números existentes”, afirma o relatório da ALI.
“O resultado é uma lacuna entre a confiança na apresentação de alegações de produtividade e a força das evidências por trás dessas alegações.”
As recomendações do relatório incluem: incentivar pesquisas futuras para refletir a incerteza dos impactos tecnológicos; garantir que os departamentos governamentais meçam o impacto dos programas de IA “desde o início”; e apoia estudos de longo prazo que medem os ganhos de produtividade ao longo de anos, não de semanas.
