Des chercheurs ont créé un ver informatique sur lequel il n'est même pas nécessaire de cliquer pour faire des dégâts.
PUBLICITÉDes chercheurs en sécurité ont créé un ver informatique d'intelligence artificielle (IA) capable d'infiltrer des modèles, tels que ChatGPT et Gemini, et de voler potentiellement des données.
Basés aux États-Unis et en Israël, les chercheurs ont délibérément construit le ver informatique comme mise en garde afin de prévenir leur apparition dans les modèles d'intelligence artificielle générative (GenAI).
Un ver informatique peut se reproduire et se propager en compromettant d'autres machines. Contrairement à d'autres vers, celui-ci n'a pas besoin que vous cliquiez ou ouvriez un courriel pour recevoir le logiciel malveillant, il le fait automatiquement dès que vous recevez le courriel infecté.
Le ver a été baptisé Morris II, en référence au premier ver informatique développé en 1988.
Comment fonctionne-t-il ?
Les chercheurs ont créé un système de messagerie électronique capable de répondre à des messages utilisant GenAI, puis de se brancher sur les modèles ChatGPT, Gemini et LLaVA.
Morris II a été testé sur des assistants de messagerie alimentés par GenAI et a permis de voler des données personnelles et de lancer des campagnes de pollupostage (spamming).
"L'étude démontre que les attaquants peuvent insérer de telles invitations dans les entrées qui, lorsqu'elles sont traitées par les modèles GenAI, incitent le modèle à reproduire l'entrée en sortie (réplication) et à s'engager dans des activités malveillantes (charge utile)", écrivent les chercheurs.
L'invitation, qui est une question ou une communication posée au modèle d'IA, force ce dernier à répondre par une autre invitation, qui peut infecter l'assistant d'IA pour en extraire des informations sensibles.
Le ver peut ensuite être envoyé à d'autres contacts de votre réseau en ligne, "en exploitant la connectivité au sein de l'écosystème GenAI", ajoutent-ils.
Les chercheurs préviennent que, si aucun ver d'IA n'a été repéré, ce n'est qu'une question de temps.
"Cela signifie essentiellement que vous avez désormais la possibilité de mener ou d'exécuter un nouveau type de cyberattaque qui n'a jamais été vu auparavant", affirme Ben Nassi, un chercheur de l'université Cornell à l'origine du ver informatique, lors d'une interview accordée à la publication Wired.
L'étude est inquiétante, car les assistants d'IA font leur apparition dans les appareils intelligents et même dans les voitures, et peuvent envoyer des courriels ou prendre des rendez-vous pour le compte d'une personne.
Dans un autre article publié le mois dernier, des chercheurs de Singapour et de Chine ont montré qu'ils pouvaient facilement obtenir un accès root au système d'exploitation d'un grand modèle de langage (LLM).