A rebelião silenciosa da inteligência artificial

Na última década observámos progressos notáveis no domínio da inteligência artificial, amplamente relacionados com o aumento da disponibilidade de elevada capacidade de computação a custos tendencialmente menores e com avanços nas técnicas de aprendizagem automática e dos grandes modelos de linguagem (LLM), como por exemplo o ChatGPT, resultando num ciclo virtuoso de investimento no desenvolvimento desta área que promete mudar a forma como utilizamos os computadores e até a vida em sociedade. Em consequência, dispomos já hoje de um vasto conjunto de ferramentas que permitem acelerar consideravelmente múltiplas tarefas do quotidiano, com aumentos de eficiência e potenciar que as empresas desenvolvam novos produtos diferenciadores.

Contudo, a crescente dependência da sociedade como um todo, dos sistemas de informação e comunicação, representa per si um risco considerável, posicionando as empresas e os cidadãos como alvos atrativos para grupos organizados de cibercrime. O cibercrime, e atualmente em particular o ransomware (i.e., um ataque informático no qual o atacante obtém um acesso ilegítimo aos sistemas de informação da vítima, cifrando toda a informação aí armazenada e exigindo avultados resgates para a vítima reaver a sua informação e para que a informação não seja tornada pública), afeta igualmente utilizadores individuais, grandes e pequenas empresas em todos os setores de atividade, causando longas interrupções na sua laboração e um elevado impacto financeiro.

A utilização de IA, incluindo LLM, aumenta a exposição dos utilizadores a novos tipos de ciberataques. Por exemplo, uma empresa que opere um chatbot tendo por base um LLM como primeira linha de atendimento, deve levar em consideração que o chatbot pode, com alguma facilidade, ser manipulado por um utilizador malicioso para realizar operações que não seria suposto realizar, ou para fornecer informação que não deveria fornecer. Esta técnica, designada de “adversarial prompt injection” consiste em enganar o LLM, praticamente como se enganaria um ser humano algo inocente, por forma a conseguir aceder a dados ou a realizar operações não autorizadas. Em parte, porque os LLM apenas olham para dados, não fazendo uma distinção intrínseca entre o “programador” que especificou como deveriam agir e os seus restantes utilizadores. Assim, sempre que uma empresa integrar um chatbot com os seus sistemas de informação deve considerar que o chatbot representa um utilizador potencialmente malicioso, balizando claramente as tarefas que pode desempenhar e a informação a que pode aceder. Mas não apenas as empresas estão sujeitas a esta tipologia de ataques, um utilizador quando solicita a um LLM que procure determinado conteúdo num texto, numa imagem ou na web, está a expor o LLM a potenciais ataques. Um texto pode conter instruções específicas para o LLM fornecer determinados dados ou realizar determinadas operações indesejadas. As mesmas instruções podem estar escondidas em imagens ou em qualquer site visitado pelo agente LLM. Assim, também os utilizadores devem avaliar quais os dados que permitem que os LLM que utilizam acedam, para não os expor inadvertidamente a ataques.

Este problema é agravado com o recente eclodir dos browsers com agentes dotados de IA, como por exemplo o Perplexity Comet, o Microsoft Edge CoPilot e o ChatGPT Atlas. Sendo atualmente o browser o ambiente natural de utilização dos sistemas de informação e da internet, é comum que os mesmos tenham acesso a passwords, histórico de utilização, dados de cartões de crédito e outra informação sensível que o utilizador não deseja que, inadvertidamente, o seu browser “decida” partilhar com um atacante ardiloso o suficiente para o enganar. Claro que é possível mitigar estes riscos, desenvolver proteções (também conhecidas como “guardrails”) que melhoram a resistência dos LLM a manipulações indevidas, mas como sempre na história da cibersegurança a pressão que as empresas se encontram sujeitas para colocar no mercado produtos inovadores, em tempo reduzido, implica muitas vezes colocar em segundo plano o esforço adequado para a sua proteção. Afinal, neste mundo, o vencedor não é quem chega ao mercado com o produto mais robusto, mas tipicamente quem chega primeiro.

Não são apenas os LLM que estão vulneráveis a ataques, outras tecnologias da área da IA utilizadas em campos como o reconhecimento de imagem (que atualmente integram a maior parte dos automóveis modernos) ou até as tecnologias utilizadas para a deteção de ataques cibernéticos são suscetíveis de manipulações do funcionamento dos seus modelos por adversários. O INESC INOV no âmbito do projeto STARLIGHT (financiado pelo programa Horizonte Europa com o n.º 101021797) estuda como as tecnologias de IA utilizadas pelas forças de segurança podem ser vulneráveis, e tem vindo a desenvolver técnicas para detetar, neutralizar e aumentar a resistência de modelos de IA a este tipo de ataques.

Hoje já é incontestável o impacto que a IA terá nos próximos anos na nossa vida, esse impacto será também profundo na Cibersegurança, quer introduzindo novas vulnerabilidades e assim aumentando a nossa exposição a ataques, quer permitindo desenvolver novas e inovadoras soluções de segurança com uma eficiência e eficácia muito superior às atuais. Como qualquer nova tecnologia quando é massificada terá as suas próprias dores de crescimento. Entretanto, cabe também aos utilizadores entenderem minimamente a tecnologia e as suas limitações, para realizarem escolhas informadas e não serem vítimas de uma utilização indevida ou descuidada.