A inteligência artificial entrou nas nossas vidas como uma ferramenta útil, rápida e aparentemente inofensiva. Perguntas qualquer coisa, lês a resposta, segues os passos… e siga!
Aliás, é algo que tem vindo a roubar o domínio absoluto que os motores de busca tinham na internet, como é o caso do Google. Curiosamente (e estranhamente), hoje em dia, já há quem diga “vai ao ChatGPT pesquisar isso”.
Mas, confiança cega em IA é um erro.
O novo truque não é um link manhoso. É um comando “útil”
Investigadores de segurança descobriram um método novo, e bastante mais perigoso, de ataque. Ou seja, em vez do clássico email fraudulento ou do site malicioso cheio de banners, o ataque começa onde já vais todos os dias. Ou seja, no Google e nos chatbots de IA.
Pesquisas coisas banais como “limpar espaço” no macOS ou Windows, “otimizar o computador”, clicas num resultado que abre um ChatGPT ou Grok, e segues um guia passo a passo. Até aqui, tudo normal.
O problema é que um dos comandos sugeridos pode ser malicioso, sem qualquer aviso visível.
Copias, colas no Terminal… e acabaste de abrir a porta. Sim, já há quem otimize publicações na Internet para ser aparecer na IA. E claro, muitas dessas otimizações não são inocentes.
O malware entra sem dó nem piedade
Segundo os investigadores da Huntress, este método instala malware de forma silenciosa, sem alertas do sistema e sem bloqueios evidentes do macOS.
Nada que te faça parar e pensar.
Aliás, o malware usado neste caso, conhecido como AMOS, fica escondido no sistema e começa a fazer o que sabe melhor:
- roubar passwords
- recolher dados sensíveis
- aceder a apps financeiras
- esvaziar contas
E tu continuas a usar o computador normalmente, sem fazer ideia.
Isto é mais grave do que parece
Este tipo de ataque é especialmente perigoso por um motivo simples: não parece um ataque.
Durante anos fomos treinados a desconfiar de links, anexos e ficheiros estranhos.
Agora estamos a copiar comandos diretamente de uma IA porque “ela sabe o que está a fazer”.
Spoiler: não sabe.
Apple, Google e companhia chegaram tarde
Os investigadores reportaram o problema, mas os resultados maliciosos continuaram ativos durante horas. Tempo mais do que suficiente para fazer estragos.
Muitos destes resultados continuam ativos, e vão ser sempre renovados a não ser que a maneira como a IA funciona mude.
O que podes fazer agora?
Nada de paranoias, mas também nada de ingenuidade.
Tens de continuar a ter noção do que andas a fazer. Não copies resposta sem ter a certeza que estão corretas e fazem sentido.
Ah, e talvez mais importante, usa autenticação de dois fatores em tudo o que mexe com dinheiro
Em suma, a IA não é má. Mas a confiança cega é. Como sempre foi.
