Nein, ChatGPT hat noch keinen Sicherheitsfehler-Wettbewerb gewonnen … noch nicht

Früher oder später musste es passieren. Scheinbar zum allerersten Mal nutzten Fehlerjäger ChatGPT in einem erfolgreichen Pwn2Own-Exploit, um Forschern dabei zu helfen, Software zu entführen, die in industriellen Anwendungen verwendet wird, und 20,000 US-Dollar zu gewinnen.

Um es klar zu sagen: Die KI hat weder die Schwachstelle gefunden noch Code geschrieben und ausgeführt, um einen bestimmten Fehler auszunutzen. Aber sein erfolgreicher Einsatz im Bug-Reporting-Wettbewerb könnte ein Vorbote für kommende Hacks sein.

„Das ist keine Interpretation des Steins von Rosetta“, sagte Dustin Childs, Head of Threat Awareness bei der Zero Day Initiative (ZDI) von Trend Micro Das Register. 

„Es ist ein erster Schritt zu etwas mehr. Wir glauben nicht, dass KI die Zukunft des Hackens ist, aber sie könnte sich sicherlich zu einem großartigen Assistenten entwickeln, wenn ein Forscher auf einen Code stößt, mit dem er nicht vertraut ist, oder auf eine Verteidigung, die er nicht erwartet hat.“ 

Beim Contest letzte Woche in Miami, Florida, Clarotys Team82 bat ChatGPT, ihnen bei der Entwicklung eines Remote-Code-Execution-Angriffs gegen Softing EdgeAggregator Siemens zu helfen – Software, die Konnektivität an der Schnittstelle zwischen OT (Operational Technology) und IT in industriellen Anwendungen bereitstellt.  

Die technischen Details sind aufgrund der Natur von Pwn2Own begrenzt: Leute finden Sicherheitslücken, demonstrieren sie auf der Bühne, offenbaren dem Entwickler oder Anbieter privat, wie sie es gemacht haben, fordern einen Preis und wir alle warten darauf, dass die Details und Patches herauskommen schließlich, wenn fertig.

In der Zwischenzeit können wir Folgendes sagen: Die an dem Exploit beteiligten Menschen, die Sicherheitsforscher Noam Moshe und Uri Katz, haben eine Schwachstelle in einem OPC Unified Architecture (OPC UA)-Client identifiziert, vermutlich in der Industriesoftware-Suite edgeAggregator. OPC UA ist ein Machine-to-Machine-Kommunikationsprotokoll, das in der industriellen Automatisierung verwendet wird.

Nachdem sie den Fehler gefunden hatten, baten die Forscher ChatGPT, ein Backend-Modul für einen OPC-UA-Server zu entwickeln, um ihren Exploit für die Remote-Ausführung zu testen. Es scheint, dass dieses Modul benötigt wurde, um im Grunde einen bösartigen Server zu erstellen, um den anfälligen Client über die vom Duo gefundene Schwachstelle anzugreifen.

„Weil wir viele Modifikationen vornehmen mussten, damit unsere Ausnutzungstechnik funktionierte, mussten wir viele Änderungen an bestehenden Open-Source-OPC-UA-Projekten vornehmen“, sagten Moshe und Katz Das Register.

„Da wir mit der spezifischen Server-SDK-Implementierung nicht vertraut waren, haben wir ChatGPT verwendet, um den Prozess zu beschleunigen, indem es uns half, den vorhandenen Server zu verwenden und zu modifizieren.“

Das Team gab der KI Anweisungen und musste einige Runden von Korrekturen und „kleinen“ Änderungen durchführen, bis es zu einem funktionierenden Backend-Servermodul kam, gaben sie zu.

Aber insgesamt, so wurde uns gesagt, stellte der Chatbot ein nützliches Tool dar, das ihnen Zeit sparte, insbesondere in Bezug auf das Füllen von Wissenslücken, wie z.

„ChatGPT kann ein großartiges Tool zur Beschleunigung des Codierungsprozesses sein“, sagte das Duo und fügte hinzu, dass es ihre Effizienz gesteigert habe.  

„Es ist, als würde man viele Runden von Google-Suchen nach einer bestimmten Codevorlage durchführen und dann mehrere Runden von Änderungen am Code basierend auf unseren spezifischen Anforderungen hinzufügen, indem man ihm lediglich anweist, was wir erreichen wollten“, sagten Moshe und Katz.

Laut Childs werden Cyberkriminelle ChatGPT wahrscheinlich auf diese Weise bei realen Angriffen auf Industriesysteme einsetzen. 

„Das Ausnutzen komplexer Systeme ist eine Herausforderung, und oft sind Bedrohungsakteure nicht mit allen Aspekten eines bestimmten Ziels vertraut“, sagte er. Childs fügte hinzu, dass er nicht erwartet, dass KI-generierte Tools Exploits schreiben, „sondern das letzte Puzzleteil liefern, das für den Erfolg benötigt wird“.

Und er macht sich keine Sorgen darüber, dass AI Pwn2Own übernimmt. Zumindest jetzt noch nicht.

„Das ist noch ziemlich weit weg“, sagte Childs. „Der Einsatz von ChatGPT hier zeigt jedoch, wie KI dabei helfen kann, eine Schwachstelle in einen Exploit zu verwandeln – vorausgesetzt, der Forscher versteht es, die richtigen Fragen zu stellen und die falschen Antworten zu ignorieren. Das ist eine interessante Entwicklung in der Geschichte des Wettbewerbs, und wir sind gespannt, wohin sie führen wird.“ ®

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/