S’il y a un signe que l’IA pose plus de problèmes qu’elle n’en vaut la peine, c’est bien OpenAI confirme que plus d'une vingtaine de cyberattaques ont eu lieu, toutes créées via ChatGPT. Le rapport confirme que l’IA générative a été utilisée pour mener des attaques de phishing, déboguer et développer des logiciels malveillants, ainsi que pour mener d’autres activités malveillantes.

Le rapport confirme deux cyberattaques utilisant l'IA générative ChatGPT. Le premier a été signalé par Cisco Talos en novembre 2024, et a été utilisé par des acteurs menaçants chinois ciblant les gouvernements asiatiques. Cette attaque a utilisé une méthode de phishing appelée « SweetSpecter », qui inclut une archive ZIP contenant un fichier malveillant qui, s'il était téléchargé et ouvert, créerait une chaîne d'infection sur le système de l'utilisateur. OpenAI a découvert que SweetSpecter avait été créé à l'aide de plusieurs comptes utilisant ChatGPT pour développer des scripts et découvrir des vulnérabilités à l'aide d'un outil LLM.

La deuxième cyberattaque améliorée par l'IA est venue d'un groupe basé en Iran appelé « CyberAv3ngers » qui a utilisé ChatGPT pour exploiter les vulnérabilités et voler les mots de passe des utilisateurs de PC basés sur macOS. La troisième attaque, menée par un autre groupe basé en Iran appelé Storm-0817, a utilisé ChatGPT pour développer un malware Android. Le malware a volé les listes de contacts, extrait les journaux d'appels et l'historique du navigateur, obtenu l'emplacement précis des appareils et accédé aux fichiers sur les appareils infectés.

Toutes ces attaques ont utilisé des méthodes existantes pour développer des logiciels malveillants et, selon le rapport, rien n'indique que ChatGPT ait créé de nouveaux logiciels malveillants. Cela montre néanmoins à quel point il est facile pour les acteurs malveillants de tromper les services d’IA générative pour qu’ils créent des outils d’attaque malveillants. Cela ouvre une nouvelle boîte de Pandore, montrant qu'il est plus facile pour toute personne possédant les connaissances nécessaires d'activer ChatGPT pour faire quelque chose avec de mauvaises intentions. Bien que certains chercheurs en sécurité découvrent de telles vulnérabilités potentielles pour les signaler et les corriger, des attaques comme celle-ci créeraient le besoin de discuter des limites de mise en œuvre de l'IA générative.

Désormais, OpenAI s’engage fermement à continuer d’améliorer son intelligence artificielle dans le but de prévenir l’utilisation de méthodes qui pourraient compromettre la sécurité et l’intégrité de ses systèmes. Cette décision souligne l’importance de maintenir une approche proactive dans la protection de vos technologies avancées. Entre-temps, OpenAI ne se concentrera pas uniquement sur le développement de son IA, mais collaborera également en étroite collaboration avec ses équipes internes de sécurité et de sûreté pour garantir que des mesures efficaces et robustes sont mises en œuvre pour protéger ses plateformes.

L'entreprise a clairement indiqué qu'elle ne se concentrerait pas uniquement sur son propre environnement, mais qu'elle continuerait également à partager ses découvertes et ses avancées avec d'autres acteurs de l'industrie et de la communauté de la recherche. Cette approche collaborative vise à éviter que des situations similaires ne se reproduisent à l’avenir, en favorisant un écosystème plus sûr et plus fiable pour tous les utilisateurs des technologies d’intelligence artificielle.

Bien que cette initiative soit dirigée par OpenAI, il est crucial que les autres leaders du secteur disposant de leurs propres plateformes d’IA générative adoptent également des mesures de protection robustes pour prévenir les attaques susceptibles de compromettre leurs systèmes.

La prévention de ce type de menaces constitue un défi permanent et il est essentiel que toutes les entreprises impliquées dans le développement de l’intelligence artificielle mettent en œuvre des mesures de protection proactives.

Ces mesures ne devraient pas se concentrer uniquement sur la résolution des problèmes dès qu’ils surviennent, mais aussi sur leur anticipation pour éviter qu’ils ne surviennent. De cette manière, les entreprises pourront garantir une expérience sûre et fiable à tous leurs utilisateurs, renforçant ainsi la confiance dans les technologies d’intelligence artificielle et leur potentiel de transformation dans la société.