Xanthorox, la IA que es promociona com a recurs fàcil per fer ciberdelictes

BarcelonaNomés entrar a la seva pàgina web oficial es defineix com "l’assassí de WormGPT i EvilGPT" de manera dramàtica, amb un fons negre i lletres resseguides en vermell. Així es presenta Xanthorox, la nova intel·ligència artificial (IA) que ha aparegut aquest any, semblant al ChatGPT. Ha estat creada per un desenvolupador anònim que ha promocionat l’eina a través de canals públics com GitHub, Telegram i Discord.

A diferència de la majoria dels sistemes d'IA comercials, que limiten les funcions per evitar-ne usos maliciosos, Xanthorox es presenta obertament com una eina que pot facilitar enormement les activitats delictives a la xarxa. A la seva pàgina principal, l’eina assegura poder descriure "el primer ransomware generat per IA que evita tots els antivirus", amb un xifratge "potent i intens, optimitzat per a la penetració ràpida i profunda en el sistema”.

Xanthorox té la capacitat de generar vídeos o àudios falsos (deepfakes), correus electrònics de phishing (robar dades amb un clic), codi maliciós i ransomware (demanar diners perquè l’usuari recuperi arxius segrestats del seu aparell). A banda, la web també pot analitzar imatges, raonar, conversar per veu i missatges d'àudio, analitzar arxius, fer servir la càmera i realitzar recerques de web, tot en servidors propis que garanteixen la privacitat total de l’usuari. Un cop presentades les funcions i prometre una seguretat absoluta, la web explica els preus: 200 dòlars mensuals per a una funció limitada, 300 per al xat complet o bé pagar una quantitat variable depenent de les necessitats de l’usuari, que ha de pactar directament amb el propietari de l’empresa (un usuari que es fa dir Gary Senderson) via xat.

Un patró que es repeteix

Xanthorox utilitza models d’intel·ligència artificial de codi obert que no incorporen les mesures de seguretat habituals en sistemes comercials, com és el cas de ChatGPT. Aquesta configuració permet generar contingut sense filtres, incloent-hi instruccions per fer activitats il·legals, com ara programar virus informàtics. L’ús d’aquesta mena de tecnologia no és inèdit i l’any 2023 ja van aparèixer plataformes com WormGPT i FraudGPT (les que Xanthorox presumeix d’haver “assassinat”) que oferien funcionalitats semblants.

Daniel Kelley, investigador de seguretat a SlashNext, va afirmar a principis d’aquest any a la revista tecnològica Scientific American que Xanthorox “és més eficaç que WormGPT i FraudGPT” perquè és “més sofisticat”. Casey Ellis, fundador de la plataforma de ciberseguretat Bugcrowd, explica que, tot i que encara no se'n saben els detalls, Xanthorox sembla disposar de sistemes avançats que permeten que diferents models d’IA revisin i validin les respostes entre si, una arquitectura pròpia de sistemes d’alt nivell.

"Només busquen els diners"

Jordi Serra, expert en ciberseguretat, explica a l'ARA que eines així “generalitzen molt més qualsevol possible atac que es vulgui fer, perquè aquestes webs permeten provar i generar codi diferent intentant saltar-se els antivirus": "Tot i això, els antivirus busquen un comportament concret d'un virus”.

Tot i la unanimitat a l'hora d'admetre que les funcions de Xanthorox són notables, no és del tot clar si realment es pot utilitzar aquesta eina per cometre delictes cibernètics a gran escala. Yael Kishon, responsable d'investigació en KELA, empresa dedicada a la intel·ligència en ciberamenaces, va explicar al mateix reportatge que no hi havia proves clares que aquesta plataforma sigui usada per a activitats malicioses en massa. Segons Kishon, l'absència d'activitat significativa o referències a Xanthorox als principals fòrums de ciberdelictes que monitoren suggereix que, de moment, l'impacte real d'aquesta eina en el món delictiu és limitat.

Serra explica que un programa com aquest fa “més fàcil que la gent pugui fer servir aquestes eines per crear nous programes”, tot i que no necessàriament els seus enganys han de ser més perillosos. “Al final, la intel·ligència artificial no és capaç de generar coses del no-res, sense haver fet abans molta feina per entrenar-la".

"Que un atac d'aquest tipus es pugui fer passar per una persona sense que la IA no tingui una veu coneguda és molt difícil si no hi ha al darrere minuts de gravacions d'aquesta persona”, apunta Serra. És a dir, potser pot suplantar un famós, perquè la seva imatge i la seva veu es poden trobar a internet, però no es pot fer passar per una persona anònima. A més, calen les dades de les persones per poder-les enganyar i, de moment, la IA no té aquesta capacitat: “Moltes vegades, el que fan és enviar a números aleatoris d'internet dient que són un familiar teu” i afegeix que no hi ha un públic concret a qui es dirigiran: “Només busquen els diners”.

Per què és legal Xanthorox?

Segons Kishon, tot i que les IA no són necessàriament dolentes, “fan molt més fàcil la feina dels ciberciminals”. Els sistemes d’IA de codi obert poden ser utilitzats lliurement sempre que no vulnerin directament les lleis vigents i, per tant, crear un sistema com Xanthorox no és un delicte. Sí que és il·legal usar l'eina per cometre delictes i, per tant, la responsabilitat de moment correspon al consumidor. Serra conclou que la intel·ligència artificial “perfecciona l'engany”.