O que é o WormGPT, o “irmão maléfico” do ChatGPT?

 A inteligência artificial tem sido usada para simplificar tarefas, automatizar processos e ampliar as nossas capacidades. No entanto, um modelo desenvolvido por um jovem português revelou outra faceta desta tecnologia. O WormGPT, um chatbot de IA sem qualquer filtro ou limitação ética, tornou-se uma ferramenta valiosa para cibercriminosos, permitindo desde a criação de fraudes financeiras até campanhas de desinformação.

Na semana passada, a Polícia Judiciária (PJ) realizou uma operação para deter o programador do WormGPT, no que classificou como uma ação “inédita” no combate ao cibercrime. Segundo a investigação, o jovem não possuía formação em informática, sendo autodidata no desenvolvimento do modelo. Criado em 2023, o WormGPT foi utilizado para escrever mensagens fraudulentas e facilitar ataques informáticos.

Uma IA sem barreiras morais

Em conferência de imprensa, o diretor da Unidade de Combate ao Cibercrime da PJ, Carlos Cabreiro, explicou que, ao contrário de sistemas como o ChatGPT, que impõem barreiras éticas e restrições ao conteúdo gerado, o WormGPT operava sem qualquer supervisão. Este modelo foi desenhado para responder a qualquer tipo de pedido, incluindo atividades ilícitas, como esquemas de burla e criação de malware. 

De acordo com a PJ, entre março e agosto de 2023, a ferramenta foi usada para crimes financeiros e ataques informáticos, sendo amplamente difundida entre criminosos. A publicação Dazed refere que o WormGPT foi projetado como uma alternativa blackhat (para hackers mal-intencionados) aos modelos de IA tradicionais, sendo utilizado em fóruns da dark web para facilitar ataques cibernéticos em larga escala, com funcionalidades especialmente eficazes na redação de e-mails fraudulentos e ataques de phishing.

Venda na dark web e expansão do modelo

O WormGPT não estava acessível ao público em geral. Para utilizá-lo, era necessário recorrer à dark web, onde o modelo foi comercializado em fóruns de hacking. A sua popularidade cresceu rapidamente, angariando milhares de utilizadores em poucos meses. A ferramenta permitia que indivíduos sem grande conhecimento técnico criassem ataques sofisticados com poucos cliques.

Durante a operação “Neural Kill Switch”, a Unidade Nacional de Cibercrime da PJ apreendeu a infraestrutura informática associada ao modelo e identificou o seu modo de funcionamento. A investigação revelou que os utilizadores podiam recorrer ao WormGPT para gerar mensagens fraudulentas e, posteriormente, aprimorá-las com ferramentas como o ChatGPT, aproveitando-se dos pontos fortes de cada sistema, segundo o Observador, que cita um estudo do portal SlashNext. 

O impacto no cenário do cibercrime

O caso do WormGPT não é isolado. Modelos de IA concebidos para atividades ilícitas têm-se multiplicado. Segundo o portal Infosecurity Europe, ferramentas como o EscapeGPT e o FraudGPT também surgiram com objetivos semelhantes. A crescente acessibilidade destes modelos coloca desafios às autoridades, que procuram travar a sua disseminação.

De acordo com a Dazed, a evolução de modelos como o WormGPT demonstra uma tendência considerada preocupante no uso da inteligência artificial para fins criminosos. O modelo foi utilizado para aprimorar técnicas de engenharia social, tornando fraudes mais difíceis de detetar e aumentando a eficácia de ataques de phishing e esquemas fraudulentos. A sua capacidade de gerar textos altamente convincentes reduziu a possibilidade de as vítimas suspeitarem de e-mails e mensagens fraudulentas.

Além disso, o WormGPT facilitava a criação de malware, permitindo que os hackers desenvolvessem vírus e outros programas maliciosos sem precisar de conhecimentos avançados de programação. O modelo era capaz de gerar scripts maliciosos rapidamente, reduzindo o tempo necessário para lançar novos ataques e aumentando a frequência de crimes informáticos.

Preocupações no setor empresarial

Escreve a Dazed que as empresas também podem ser vítimas do WormGPT. O modelo foi utilizado para criar e-mails fraudulentos que imitavam comunicações empresariais legítimas, facilitando ataques de Business Email Compromise (BEC). Nesse tipo de fraude, os criminosos fazem-se passar por executivos ou fornecedores para enganar funcionários e obter transferências financeiras fraudulentas.

Empresas como a OpenAI e a Google têm reforçado mecanismos para prevenir o uso abusivo de inteligência artificial. No entanto, os cibercriminosos continuam a explorar falhas e a desenvolver soluções alternativas que contornam restrições.

Ações das autoridades e desafios futuros

A detenção do programador do WormGPT marca um passo considerado pela Polícia Judiciária como importante no combate ao cibercrime, mas a PJ alerta que a ameaça persiste. As autoridades continuam a monitorizar fóruns e mercados na dark web para identificar novos modelos que possam surgir. 

Lê-se na imprensa que a única forma de conter este problema será através de regulamentação e desenvolvimento de novas tecnologias de deteção e bloqueio de modelos maliciosos. Certo é que um estudo divulgado recentemente pela Boston Consulting Group indica que o cibercrime deverá custar 13,8 biliões (trillion) de dólares às empresas até 2028. 

Subscreve a nossa newsletter NEXT, onde todas as segundas-feiras podes ler as melhores histórias do mundo da inovação e das empresas em Portugal e lá fora.