ChatGPT et DeepSeek peuvent produire un logiciel espion si on sait comment leur demander
Des experts en cybersécurité ont développé des logiciels malveillants pour dérober les mots de passe depuis ChatGPT et DeepSeek. Les chercheurs ont construit un monde immersif pour tromper l’IA et pousser les chatbots à produire du code malveillant.
Les hackers voient leur rêve devenir réalité. Un rapport de l’entreprise de cybersécurité Cato Networks, publié le 18 mars, montre une nouvelle fois que les chatbots nourris à l’intelligence artificielle peuvent produire des logiciels malveillants. Et cette fois-ci, il s’agit d‘un infostealer, un programme voleur de mot de passe, prêt à l’emploi.
En temps normal, les modèles d’IA sont censés refuser toute requête mettant en danger son utilisateur ou d’autres personnes, y compris celles destinées à créer un malware. Pour contourner ces restrictions, les chercheurs de Cato Networks ont développé une nouvelle technique de jailbreaking (qui ici vise à débrider les limitations d’un chatbot) baptisée « Immersive World ».
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
L’idée est simple : au lieu de demander directement un code malveillant, ils ont créé un univers fictif complexe, un monde dans lequel la conception de malware est une discipline légitime et académique. Dans l’environnement simulé, l’IA ne perçoit plus les tâches demandées comme suspectes et fournit progressivement les éléments nécessaires à la création d’un logiciel malveillant pour réussir son « devoir universitaire ». Les experts ont ensuite développer cet univers sur ChatGPT, DeepSeek et Copilot.
L’infostealer a finalement été testé avec succès sur des copies de gestionnaires de mots de passe de Google, confirmant l’efficacité de la méthode puisque le programme a dérobé les mots de passe.
L’intelligence artificielle au service des cybercriminels
L’expérience de Cato Networks démontre que les garde-fous actuels des IA génératives sont encore insuffisants. Vitaly Simonovich, chercheur chez Cato Networks, s’inquiète de l’impact potentiel de cette faille. « Les infostealers jouent un rôle clé dans le vol d’identifiants, permettant aux cybercriminels de compromettre des entreprises et des individus. Notre nouvelle technique de jailbreaking des grands modèles de langage, que nous avons appelée Immersive World, démontre à quel point il est désormais facile de créer un infostealer avec une IA », affirme l’expert en cybersécurité.
Les infostealers sont des outils courants du cybercrime, et se cachent le plus souvent dans les pièces jointes des mails de hameçonnage (phishing). Une fois téléchargé, le programme siphonne le gestionnaire de mot de passe du navigateur.
Face à cette découverte, Cato Networks a alerté DeepSeek, Microsoft et OpenAI sur cette faille. Seul le géant des logiciels a répondu. Google a également été contacté et s’est vu proposer le code de l’infostealer, mais l’entreprise a refusé de l’examiner. DeepSeek est resté silencieux.
Pour les experts, cette situation souligne l’urgence de renforcer les systèmes de protection des IA, notamment face à des techniques aussi sophistiquées que « Immersive World ».
Toute l’actu tech en un clin d’œil
Ajoutez Numerama à votre écran d’accueil et restez connectés au futur !
Auteur :
Aller à la source
