AI ‘worm’ raises alarm on cybersecurity vulnerabilities

• Investigadores han creado un 'gusano' de IA que puede infiltrarse en asistentes de correo electrónico de IA generativa como ChatGPT y Gemini, violando medidas de seguridad para extraer información sensible y distribuir mensajes de spam.
• Los investigadores mostraron cómo estos gusanos podrían comprometer la integridad de los datos y propagarse a usuarios desprevenidos.

Un grupo de investigadores reveló lo que afirman ser uno de los primeros gusanos de IA generativa, capaces de propagarse por los sistemas para potencialmente robar datos o propagar malware. Este avance subraya las vulnerabilidades inherentes a los ecosistemas de IA conectados y sirve como una advertencia clara para las empresas tecnológicas y los desarrolladores que aprovechan estas tecnologías. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

Explotando vulnerabilidades en sistemas de IA

Creación de los investigadores Ben Nassi, Stav Cohen y Ron Bitton, el gusano de IA llamado Morris II rinde homenaje al disruptivo gusano informático Morris de 1988. Al aprovechar un "prompt autorreplicante adversarial", los investigadores demostraron cómo esta entidad maliciosa podría infiltrarse en asistentes de correo electrónico de IA generativa como ChatGPT y Gemini, violando medidas de seguridad para extraer información sensible y distribuir mensajes de spam. Esta revelación arroja luz sobre la amenaza incipiente que representan los gusanos de IA generativa, un peligro que los expertos creen que podría tener implicaciones de gran alcance si no se controla.

La metodología de los investigadores consistió en explotar vulnerabilidades en los sistemas de IA inyectando prompts autorreplicantes, tanto en forma de texto como incrustados en archivos de imagen. A través de una serie de ataques simulados en un sistema de correo electrónico integrado con varios modelos de IA generativa, el equipo mostró cómo estos gusanos podrían comprometer la integridad de los datos y propagarse a usuarios desprevenidos. Al obligar a la IA a generar más instrucciones en sus respuestas, similar a los ciberataques tradicionales como la inyección SQL, los investigadores destacaron la magnitud potencial de esta nueva clase de amenaza.

Lea también: Ciberataque a Change Healthcare genera preocupaciones por la seguridad

Alertando a los principales actores y llamados a la acción

Si bien la investigación se llevó a cabo en entornos controlados y no contra plataformas disponibles públicamente, las implicaciones son profundas. A medida que los modelos de lenguaje grandes continúan evolucionando y diversificándose en capacidades multimodales que abarcan imágenes y videos, el alcance de la explotación se amplía. La aparición de gusanos de IA generativa subraya la necesidad imperiosa de medidas sólidas de ciberseguridad dentro del ecosistema de IA, instando a los actores de la industria a fortalecer sus defensas contra amenazas novedosas. Ver también: Asociación ECHOES.

Lea también: ChatGPT cayó debido a un ataque DDoS, no a su popularidad

Urgencia de medidas sólidas de ciberseguridad

En respuesta a los hallazgos, los principales actores en el dominio de la IA, como Google y OpenAI, han sido alertados. Si bien OpenAI reconoce la vulnerabilidad y promete mejorar la resistencia contra tales ataques, Google ha permanecido en silencio sobre el asunto. La investigación sirve como una llamada de atención para la vigilancia y las medidas de seguridad proactivas en el panorama de la IA, enfatizando la necesidad crítica de un diseño de aplicaciones seguro y un monitoreo atento para frustrar posibles brechas. Ver también: IT Department - Athlok.

A medida que el espectro de los gusanos de IA generativa se avecina en el horizonte, los expertos advierten que el riesgo futuro que representan estas entidades es una preocupación tangible. Con la proliferación de aplicaciones de IA encargadas de ejecutar tareas de forma autónoma, la posibilidad de que actores maliciosos exploten las lagunas es una realidad apremiante. La responsabilidad recae en los desarrolladores y las partes interesadas de la industria para mantenerse a la vanguardia, implementando protocolos y salvaguardas de seguridad estrictos para mitigar la amenaza inminente de que los gusanos de IA generativa se infiltren en el entorno real en los próximos años. Ver también: Alejandro Estua.