Nej, ChatGPT har ikke vundet en sikkerhedsfejl-konkurrence … endnu

Det skulle ske før eller siden. For hvad der ligner første gang nogensinde, brugte fejljægere ChatGPT i en vellykket Pwn2Own-udnyttelse, og hjalp forskere med at kapre software brugt i industrielle applikationer og vinde $20,000.

For at være klar: AI'en fandt ikke sårbarheden og skrev og kørte heller ikke kode for at udnytte en specifik fejl. Men dens succesfulde brug i fejlrapporteringskonkurrencen kan være en varsel om kommende hacks.

"Dette er ikke fortolkning af Rosetta-stenen," fortalte Dustin Childs, leder af trusselsbevidsthed hos Trend Micros Zero Day Initiative (ZDI) Registret. 

”Det er et første skridt mod noget mere. Vi tror ikke, at AI er fremtiden for hacking, men det kan helt sikkert blive en fantastisk assistent, når en forsker støder på et stykke kode, de ikke er bekendt med, eller et forsvar, de ikke havde forventet." 

Ved sidste uges konkurrence i Miami, Florida, Clarotys hold82 bad ChatGPT om at hjælpe dem med at udvikle et eksternt kodeeksekveringsangreb mod Softing edgeAggregator Siemens - software, der giver forbindelse ved grænsefladen mellem OT (operativ teknologi) og IT i industrielle applikationer.  

De tekniske detaljer er begrænsede på grund af Pwn2Owns natur: folk finder sikkerhedshuller, demonstrerer dem på scenen, afslører privat, hvordan de gjorde det til udvikleren eller sælgeren, hævder en præmie, og vi venter alle på, at detaljerne og patches kommer ud til sidst når klar.

I mellemtiden kan vi sige dette: de mennesker, der er involveret i udnyttelsen, sikkerhedsforskerne Noam Moshe og Uri Katz, identificerede en sårbarhed i en OPC Unified Architecture (OPC UA)-klient, formodentlig inden for edgeAggregator-softwarepakken. OPC UA er en maskine-til-maskine kommunikationsprotokol, der bruges i industriel automation.

Efter at have fundet fejlen bad forskerne ChatGPT om at udvikle et backend-modul til en OPC UA-server for at teste deres udnyttelse af fjernudførelse. Det ser ud til, at dette modul var nødvendigt for grundlæggende at bygge en ondsindet server til at angribe den sårbare klient via den sårbarhed, duoen fandt.

"Fordi vi var nødt til at lave en masse ændringer for at vores udnyttelsesteknik skulle fungere, var vi nødt til at lave mange ændringer i eksisterende open source OPC UA-projekter," fortalte Moshe og Katz Registret.

"Da vi ikke var bekendt med den specifikke server-SDK-implementering, brugte vi ChatGPT til at fremskynde processen ved at hjælpe os med at bruge og ændre den eksisterende server."

Holdet forsynede AI med instruktioner og var nødt til at lave et par runder med rettelser og "mindre" ændringer, indtil det kom op med et brugbart backend-servermodul, indrømmede de.

Men alt i alt, får vi at vide, leverede chatbotten et nyttigt værktøj, der sparede dem tid, især med hensyn til at udfylde videnshuller, såsom at lære at skrive et backend-modul og lade mennesker fokusere mere på at implementere udnyttelsen.

"ChatGPT har kapaciteten til at være et fantastisk værktøj til at accelerere kodningsprocessen," sagde duoen og tilføjede, at det øgede deres effektivitet.  

"Det er som at lave mange runder af Google-søgninger efter en specifik kodeskabelon og derefter tilføje flere runder af ændringer til koden baseret på vores specifikke behov, udelukkende ved at instruere den, hvad vi ønskede at opnå," sagde Moshe og Katz.

Ifølge Childs er det sandsynligvis sådan, vi vil se cyberkriminelle bruge ChatGPT i virkelige angreb mod industrielle systemer. 

"At udnytte komplekse systemer er udfordrende, og ofte er trusselsaktører ikke bekendt med alle aspekter af et bestemt mål," sagde han. Childs tilføjede, at han ikke forventer at se AI-genererede værktøjer skrive udnyttelser, "men giver den sidste brik i puslespillet, der er nødvendig for succes."

Og han er ikke bekymret for, at AI overtager Pwn2Own. I hvert fald ikke endnu.

"Det er stadig et stykke vej," sagde Childs. “Men brugen af ​​ChatGPT her viser, hvordan AI kan være med til at gøre en sårbarhed til en udnyttelse – forudsat at forskeren ved, hvordan man stiller de rigtige spørgsmål og ignorerer de forkerte svar. Det er en interessant udvikling i konkurrencens historie, og vi glæder os til at se, hvor det kan føre hen.” ®

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/