Embora sejam considerados um assistente pessoal, as IAs possuem um tipo de trava de segurança para evitar responder perguntas extremas – como instruções para crimes, por exemplo. Contudo, um time de pesquisadores da Cisco encontrou uma forma de burlar a proteção desses chatbots, e isso pode ser bem perigoso.
Confira: Golpe abusa de protocolos autorizadores para invadir contas corporativas da Microsoft
Além de evitar pedidos de tarefas potencialmente prejudiciais para o usuário ou terceiros, esse bloqueio também evita a extração de dados sensíveis. O problema é que essas IAs têm brechas, que os especialistas da Cisco conseguiram descobrir por meio de uma técnica chamada de decomposição instrucional.
Por meio dela, foi possível “furar” esses bloqueios e comprovar que, com truques simples, é possível extrair informações sensíveis de chatbots.
Como quebraram o bloqueio das IAs?
Uma pesquisa da Cisco, realizada em setembro de 2024, mostrou que foi possível burlar a segurança das IAs ao extrair um artigo protegido do jornal The New York Times. A primeira tentativa de acessar o conteúdo bloqueado falhou, embora o chatbot tenha reconhecido sua existência. Contudo, talvez por questões de direitos autorais, não conseguiu detalhar as informações.
“Eu não posso capturar a tela ou acessar artigos de sites específicos, como o The New York Time, mas posso resumir os conceitos”, escreveu a IA. Além disso, também foi elencado o nome do autor, título do artigo e data de publicação.
A partir disso, os pesquisadores começaram a utilizar a decomposição instrucional para furar o bloqueio. Primeiro, foi solicitado aquele resumo que o chatbot oferece, depois, partes específicas do texto, como a primeira frase do artigo – mas a regra principal é que o nome do artigo nunca deveria ser mencionado.
A solicitação individual das frases não acionou o mecanismo de proteção dos chatbots, e a Cisco conseguiu obter o conteúdo protegido por direitos autorais. Entenda o processo:
- Os bloqueios das IAs funcionam por pedidos de acesso completo ao conteúdo;
- Ao usar o método de decomposição instrucional, as solicitações para o chatbot são quebradas em diversas etapas;
- Dessa forma, os mecanismos de segurança não conseguem entender que o usuário quer um conteúdo restrito;
- A única regra para esse método é que o usuário nunca cite a palavra-chave do conteúdo, que irá ativar o bloqueio do chatbot;
- O software continuará respondendo, pois, na totalidade da conversa, parecem perguntas inofensivas.
Por que essa pesquisa importa para a segurança digital?
Por mais que o teste pareça simples e não sugira tanto perigo, a realidade não é bem assim. O teste da Cisco envolveu artigos de jornais pagos, que não possuem valor material para criminosos e, no máximo, configuram como uma distribuição irregular de conteúdo protegido.
Por outro lado, em um contexto corporativo, por exemplo, criminosos poderiam utilizar métodos análogos para obter informações sigilosas. Como muitas companhias usam um chatbot com o mesmo tipo de algoritmo, seja do Google, da OpenAI, ou da Microsoft, as IAs pode acabar escrevendo mais do que deveriam.
Para mais informações sobre segurança e acesso indevido em inteligências artificiais, continue ligado no site do TecMundo.