MADRID 12 fev. (Portaltic/EP) - A inteligência artificial (IA) tornou-se um alvo dos cibercriminosos, que procuram clonar os modelos proprietários, mas também uma ferramenta que permite aperfeiçoar e lançar ataques, o que, paralelamente, fez crescer um mercado clandestino de serviços de IA.
No ano passado, foi detectado um aumento dos chamados ataques de destilação, ou seja, tentativas de extrair modelos de IA generativa para obter informações sobre seu funcionamento e cloná-los.
O objetivo é o raciocínio subjacente aos modelos e aos processos da cadeia de pensamento, conforme consta no último relatório “AI Threat Tracker” do Google Threat Intelligence Group (GTIG). Nele, além disso, é apontado que um objetivo comum para os atacantes é a capacidade de raciocínio do Gemini.
Este relatório destaca, igualmente, o uso da inteligência artificial por parte de atores maliciosos em todo o ciclo de vida do ataque, que abrange desde tarefas de codificação e criação de scripts até a coleta de informações sobre alvos potenciais, a investigação de vulnerabilidades publicamente conhecidas e a habilitação de atividades pós-comprometimento.
Essa prática foi identificada em agentes de ameaças apoiados por governos, como o APT42, ligado ao Irã, que usou modelos de IA generativa para pesquisar e-mails oficiais de entidades específicas e realizar reconhecimentos sobre possíveis parceiros comerciais para estabelecer um pretexto credível.
Também é citado o UNC2970, relacionado à Coreia do Norte, que utilizou o Gemini para sintetizar inteligência de fontes abertas (OSINT) e traçar o perfil de alvos de alto valor para apoiar o planejamento e o reconhecimento de campanhas. A IA também tem sido utilizada de forma experimental para implementar novas capacidades em malware. Um exemplo disso é o HONESTCUE, que aproveitou a API do Gemini para terceirizar a geração de funcionalidades, em uma tentativa de contornar a detecção tradicional baseada em rede e a análise estática.
Além disso, o relatório relata que os agentes de ameaças integram recursos de IA em suas operações de invasão, como ocorreu com o kit de phishing COINBAIT, cuja construção provavelmente foi acelerada por ferramentas de geração de código por meio de IA, que se passava por um serviço de câmbio de criptomoedas para a coleta de credenciais.
O relatório também identifica um mercado de serviços de IA projetados para apoiar atividades maliciosas. Nesse sentido, o GTIG observou fóruns clandestinos em inglês e russo nos quais são promovidas e vendidas ferramentas e serviços habilitados para IA. O relatório destaca que os agentes de ameaças ainda têm dificuldades para desenvolver modelos personalizados e, em vez disso, confiam em modelos de IA maduros e existentes.
Assim, o GTIG identificou um kit chamado Xanthorox que é anunciado como uma IA personalizada para a geração autônoma de código de malware e o desenvolvimento de campanhas de phishing. Conforme explicado no relatório, o modelo, que foi anunciado como feito sob medida, não era uma IA personalizada, mas era alimentado por vários produtos de IA comerciais e de terceiros.
Esta notícia foi traduzida por um tradutor automático