Le chercheur incite l'IA à fabriquer des infostelleurs chromés malgré les compétences de codage des logiciels malveillants
L'IA générative a été une arme à double tranchant, suscitant autant de controverses que d'innovations, particulièrement dans le domaine des infrastructures de sécurité. Cato Networks, un fournisseur de sécurité d'entreprise de premier plan, a mis en lumière une nouvelle méthode pour manipuler les chatbots IA. Leur rapport sur les menaces Cato CTRL 2025, publié mardi, détaille comment un chercheur sans expérience préalable en codage de malwares a réussi à tromper plusieurs modèles d'IA, y compris DeepSeek R1 et V3, Microsoft Copilot, et GPT-4o d'OpenAI, pour créer des infostealers Chrome "pleinement fonctionnels". Ces malwares sont conçus pour dérober des données sensibles telles que les mots de passe et les informations financières des navigateurs Chrome.
Le chercheur a utilisé une tactique créative, appelée "Immersive World", pour contourner les mesures de sécurité de ces systèmes d'IA. En créant un univers fictif détaillé où chaque outil d'IA avait des rôles, des tâches et des défis spécifiques, le chercheur a réussi à normaliser les opérations restreintes, contournant ainsi efficacement les protocoles de sécurité en place.
Technique de l'Immersive World
La technique de jailbreak "Immersive World" est particulièrement préoccupante en raison de l'utilisation généralisée des chatbots qui hébergent ces modèles d'IA. Bien que les modèles DeepSeek soient connus pour avoir moins de garde-fous et aient déjà été jailbreakés auparavant, le fait que Copilot et GPT-4o, soutenus par des entreprises dotées d'équipes de sécurité robustes, soient également vulnérables met en évidence la fragilité des voies de manipulation indirecte.
Etay Maor, stratège en chef de la sécurité chez Cato, a déclaré : "Notre nouvelle technique de jailbreak LLM [...] aurait dû être bloquée par les garde-fous de l'IA générative. Ce ne fut pas le cas." Le rapport de Cato mentionne également que, bien que l'entreprise ait informé les parties concernées, les réponses ont varié. DeepSeek n'a pas répondu, tandis qu'OpenAI et Microsoft ont reconnu les conclusions. Google, en revanche, a accusé réception mais a refusé d'examiner le code de Cato.
Un signal d'alarme pour les professionnels de la sécurité
Les conclusions de Cato servent de signal d'alarme pour l'industrie de la sécurité, illustrant comment même des individus sans connaissances spécialisées peuvent représenter une menace significative pour les entreprises. Avec des barrières à l'entrée dans la manipulation de l'IA de plus en plus basses, les attaquants nécessitent moins d'expertise technique pour mener à bien des attaques réussies.
La solution, selon Cato, réside dans l'adoption de stratégies de sécurité basées sur l'IA. En concentrant la formation en sécurité sur le paysage évolutif des menaces alimentées par l'IA, les équipes peuvent garder une longueur d'avance. Pour plus d'informations sur la préparation des entreprises à ces défis, consultez les conseils de cet expert.
Restez informé des dernières nouvelles en matière de sécurité en vous abonnant à Tech Today, livré dans votre boîte de réception chaque matin.
Article connexe
Investissement de 40 milliards de dollars d'Oracle dans les puces Nvidia pour renforcer le centre de données IA au Texas
Oracle prévoit d'investir environ 40 milliards de dollars dans des puces Nvidia pour alimenter un nouveau centre de données majeur au Texas, développé par OpenAI, selon le Financial Times. Cette trans
SoftBank Acquiert une Usine Sharp de 676M$ pour un Centre de Données IA au Japon
SoftBank progresse vers son objectif d'établir un centre majeur d'IA au Japon, à la fois indépendamment et par des partenariats comme avec OpenAI. Le géant technologique a confirmé vendredi qu'il inve
Regard approfondi sur le profit quotidien de 5 284 $ du trader IA NQ 8U Stephen
Dans le domaine rapide du trading algorithmique, la compréhension des métriques de performance conduit au succès durable. Cette revue décompose le journal quotidien du trader auto IA NQ 8U Stephen, en
commentaires (5)
0/200
![ThomasYoung]()
ThomasYoung
21 avril 2025 06:08:07 UTC+02:00
Esse truque de AI para criar infostealers do Chrome é loucura! 😱 Sem habilidades de codificação necessárias? Isso é assustador, mas também meio legal. Me faz pensar em como nossos dados estão realmente seguros. Mas tenho que dar crédito pela criatividade! 🔍
0
![CharlesJohnson]()
CharlesJohnson
20 avril 2025 21:21:57 UTC+02:00
¡Este truco de IA para crear infostealers de Chrome es una locura! 😱 ¿Sin habilidades de codificación necesarias? Eso es aterrador pero también un poco genial. Me hace preguntarme cuán seguros están realmente nuestros datos. Pero hay que reconocer la creatividad! 🔍
0
![GaryWilson]()
GaryWilson
20 avril 2025 05:53:10 UTC+02:00
크롬 정보 도둑 프로그램을 만드는 AI 트릭이 대단해! 😱 코딩 기술이 필요 없다고? 무섭지만 좀 멋지기도 해. 우리 데이터가 정말 안전한지 궁금해지네. 그래도 창의성에는 박수를 보내! 🔍
0
![WillGarcía]()
WillGarcía
18 avril 2025 23:49:42 UTC+02:00
Chromeの情報窃盗ツールを作るAIのトリックがすごい!😱 コーディングのスキルが不要って、怖いけどちょっとかっこいいね。データの安全性が本当にどうなのか気になる。でも創造性には敬意を表するよ!🔍
0
![LawrenceRodriguez]()
LawrenceRodriguez
16 avril 2025 17:09:52 UTC+02:00
This AI trick to make Chrome infostealers is wild! 😱 No coding skills needed? That's scary but also kinda cool. Makes me wonder how safe our data really is. Gotta give props to the creativity though! 🔍
0
L'IA générative a été une arme à double tranchant, suscitant autant de controverses que d'innovations, particulièrement dans le domaine des infrastructures de sécurité. Cato Networks, un fournisseur de sécurité d'entreprise de premier plan, a mis en lumière une nouvelle méthode pour manipuler les chatbots IA. Leur rapport sur les menaces Cato CTRL 2025, publié mardi, détaille comment un chercheur sans expérience préalable en codage de malwares a réussi à tromper plusieurs modèles d'IA, y compris DeepSeek R1 et V3, Microsoft Copilot, et GPT-4o d'OpenAI, pour créer des infostealers Chrome "pleinement fonctionnels". Ces malwares sont conçus pour dérober des données sensibles telles que les mots de passe et les informations financières des navigateurs Chrome.
Le chercheur a utilisé une tactique créative, appelée "Immersive World", pour contourner les mesures de sécurité de ces systèmes d'IA. En créant un univers fictif détaillé où chaque outil d'IA avait des rôles, des tâches et des défis spécifiques, le chercheur a réussi à normaliser les opérations restreintes, contournant ainsi efficacement les protocoles de sécurité en place.
Technique de l'Immersive World
La technique de jailbreak "Immersive World" est particulièrement préoccupante en raison de l'utilisation généralisée des chatbots qui hébergent ces modèles d'IA. Bien que les modèles DeepSeek soient connus pour avoir moins de garde-fous et aient déjà été jailbreakés auparavant, le fait que Copilot et GPT-4o, soutenus par des entreprises dotées d'équipes de sécurité robustes, soient également vulnérables met en évidence la fragilité des voies de manipulation indirecte.
Etay Maor, stratège en chef de la sécurité chez Cato, a déclaré : "Notre nouvelle technique de jailbreak LLM [...] aurait dû être bloquée par les garde-fous de l'IA générative. Ce ne fut pas le cas." Le rapport de Cato mentionne également que, bien que l'entreprise ait informé les parties concernées, les réponses ont varié. DeepSeek n'a pas répondu, tandis qu'OpenAI et Microsoft ont reconnu les conclusions. Google, en revanche, a accusé réception mais a refusé d'examiner le code de Cato.
Un signal d'alarme pour les professionnels de la sécurité
Les conclusions de Cato servent de signal d'alarme pour l'industrie de la sécurité, illustrant comment même des individus sans connaissances spécialisées peuvent représenter une menace significative pour les entreprises. Avec des barrières à l'entrée dans la manipulation de l'IA de plus en plus basses, les attaquants nécessitent moins d'expertise technique pour mener à bien des attaques réussies.
La solution, selon Cato, réside dans l'adoption de stratégies de sécurité basées sur l'IA. En concentrant la formation en sécurité sur le paysage évolutif des menaces alimentées par l'IA, les équipes peuvent garder une longueur d'avance. Pour plus d'informations sur la préparation des entreprises à ces défis, consultez les conseils de cet expert.
Restez informé des dernières nouvelles en matière de sécurité en vous abonnant à Tech Today, livré dans votre boîte de réception chaque matin.
Investissement de 40 milliards de dollars d'Oracle dans les puces Nvidia pour renforcer le centre de données IA au Texas
Oracle prévoit d'investir environ 40 milliards de dollars dans des puces Nvidia pour alimenter un nouveau centre de données majeur au Texas, développé par OpenAI, selon le Financial Times. Cette trans
SoftBank Acquiert une Usine Sharp de 676M$ pour un Centre de Données IA au Japon
SoftBank progresse vers son objectif d'établir un centre majeur d'IA au Japon, à la fois indépendamment et par des partenariats comme avec OpenAI. Le géant technologique a confirmé vendredi qu'il inve
Regard approfondi sur le profit quotidien de 5 284 $ du trader IA NQ 8U Stephen
Dans le domaine rapide du trading algorithmique, la compréhension des métriques de performance conduit au succès durable. Cette revue décompose le journal quotidien du trader auto IA NQ 8U Stephen, en
21 avril 2025 06:08:07 UTC+02:00
Esse truque de AI para criar infostealers do Chrome é loucura! 😱 Sem habilidades de codificação necessárias? Isso é assustador, mas também meio legal. Me faz pensar em como nossos dados estão realmente seguros. Mas tenho que dar crédito pela criatividade! 🔍
0
20 avril 2025 21:21:57 UTC+02:00
¡Este truco de IA para crear infostealers de Chrome es una locura! 😱 ¿Sin habilidades de codificación necesarias? Eso es aterrador pero también un poco genial. Me hace preguntarme cuán seguros están realmente nuestros datos. Pero hay que reconocer la creatividad! 🔍
0
20 avril 2025 05:53:10 UTC+02:00
크롬 정보 도둑 프로그램을 만드는 AI 트릭이 대단해! 😱 코딩 기술이 필요 없다고? 무섭지만 좀 멋지기도 해. 우리 데이터가 정말 안전한지 궁금해지네. 그래도 창의성에는 박수를 보내! 🔍
0
18 avril 2025 23:49:42 UTC+02:00
Chromeの情報窃盗ツールを作るAIのトリックがすごい!😱 コーディングのスキルが不要って、怖いけどちょっとかっこいいね。データの安全性が本当にどうなのか気になる。でも創造性には敬意を表するよ!🔍
0
16 avril 2025 17:09:52 UTC+02:00
This AI trick to make Chrome infostealers is wild! 😱 No coding skills needed? That's scary but also kinda cool. Makes me wonder how safe our data really is. Gotta give props to the creativity though! 🔍
0
