Si ChatGPT peut générer quasiment n'importe quel type de texte, il peut aussi créer du code, et même du code malveillant. Le chercheur de l'entreprise de cybersécurité Forcepoint Aaron Mulgrew explique avoir réussi à créer un malware en quelques heures en utilisant uniquement le bot conversationnel d'OpenAI. Cette expérience avait pour but de montrer que les garde-fous de ChatGPT sont facilement contournables, mais surtout que le service peut être utilisé à mauvais escient.
Le chercheur a dû ruser pour mettre sur pied son virus étant donné que ChatGPT refuse les requêtes illégales. Il est cependant possible de le faire sortir des clous en modifiant un peu ses invites ou en adaptant ses demandes de manière à ce que le bot ne réalise pas qu'il participe à quelque chose de malveillant. Dans le cas présent, Aaron Mulgrew explique avoir procédé par étape en générant le code fonction par fonction.
Le chercheur dit avoir commencé par créer un programme simple pouvant aller chercher des données sur un disque dur, qu'il a ensuite affiné. Il a fait en sorte de camoufler son code et récupère au final un malware fonctionnel, qui ne peut pas être repéré par les différents services d'analyse de fichiers suspects.
En pratique, son programme peut se faire passer pour une application d'économiseur d'écran (extension SCR) et démarrer au lancement de Windows. Le logiciel fouille le disque dur à la recherche des données à voler, qui sont ensuite divisées et intégrées à des images d'apparence toutes simples. Celles-ci sont alors exfiltrées vers un dossier Google Drive, un service généralement autorisé sur les réseaux d'entreprises.
Un résultat équivalent sans ChatGPT aurait demandé beaucoup plus d'investissement. Le chercheur estime qu'il aurait fallu une équipe de 5 à 10 développeurs logiciels ayant plusieurs semaines devant eux pour obtenir un malware similaire, en particulier pour faire en sorte que le programme échappe aux différents services de détection.
Ce n'est pas la première fois que ce genre de dérives de ChatGPT est évoqué. En début d'année, Checkpoint mettait en lumière des groupes de pirates utilisant le bot pour coder des logiciels malveillants. L'entreprise de sécurité s'alarmait notamment sur le fait que l'outil simplifiait grandement la création de malwares aux débutants.
