Όχι, το ChatGPT δεν έχει κερδίσει έναν διαγωνισμό σφαλμάτων ασφαλείας … ακόμα

Ήταν βέβαιο ότι θα συμβεί αργά ή γρήγορα. Για αυτό που μοιάζει για πρώτη φορά, οι κυνηγοί σφαλμάτων χρησιμοποίησαν το ChatGPT σε μια επιτυχημένη εκμετάλλευση Pwn2Own, βοηθώντας τους ερευνητές να κλέβουν λογισμικό που χρησιμοποιείται σε βιομηχανικές εφαρμογές και να κερδίσουν 20,000 $.

Για να είμαστε σαφείς: η τεχνητή νοημοσύνη δεν βρήκε την ευπάθεια ούτε έγραψε και εκτέλεσε κώδικα για να εκμεταλλευτεί ένα συγκεκριμένο ελάττωμα. Αλλά η επιτυχής χρήση του στον διαγωνισμό αναφοράς σφαλμάτων θα μπορούσε να είναι προάγγελος των επερχόμενων αμυχών.

«Αυτό δεν ερμηνεύει την Πέτρα της Ροζέτα», είπε ο Ντάστιν Τσάιλντς, επικεφαλής του τμήματος ευαισθητοποίησης των απειλών στο Trend Micro's Zero Day Initiative (ZDI). Το μητρώο. 

«Είναι ένα πρώτο βήμα προς κάτι περισσότερο. Δεν πιστεύουμε ότι η τεχνητή νοημοσύνη είναι το μέλλον του hacking, αλλά σίγουρα θα μπορούσε να μετατραπεί σε εξαιρετικό βοηθό όταν ένας ερευνητής έρχεται αντιμέτωπος με ένα κομμάτι κώδικα με το οποίο δεν είναι εξοικειωμένο ή μια άμυνα που δεν περίμενε». 

Στον διαγωνισμό της περασμένης εβδομάδας στο Μαϊάμι της Φλόριντα, Η ομάδα του Claroty82 ζήτησε από την ChatGPT να τους βοηθήσει να αναπτύξουν μια απομακρυσμένη επίθεση εκτέλεσης κώδικα κατά του Softing edgeAggregator Siemens — λογισμικό που παρέχει συνδεσιμότητα στη διεπαφή μεταξύ OT (λειτουργική τεχνολογία) και IT σε βιομηχανικές εφαρμογές.  

Οι τεχνικές λεπτομέρειες είναι περιορισμένες λόγω της φύσης του Pwn2Own: οι άνθρωποι βρίσκουν τρύπες ασφαλείας, τις επιδεικνύουν στη σκηνή, αποκαλύπτουν ιδιωτικά πώς το έκαναν στον προγραμματιστή ή τον πωλητή, διεκδικούν ένα βραβείο και όλοι περιμένουμε να βγουν οι λεπτομέρειες και τα patches τελικά όταν είναι έτοιμο.

Εν τω μεταξύ, μπορούμε να πούμε το εξής: οι άνθρωποι που εμπλέκονται στο exploit, οι ερευνητές ασφάλειας Noam Moshe και Uri Katz, εντόπισαν μια ευπάθεια σε έναν πελάτη OPC Unified Architecture (OPC UA) πιθανώς εντός της σουίτας βιομηχανικού λογισμικού edgeAggregator. Το OPC UA είναι ένα πρωτόκολλο επικοινωνίας μηχανής με μηχανή που χρησιμοποιείται στον βιομηχανικό αυτοματισμό.

Αφού βρήκαν το σφάλμα, οι ερευνητές ζήτησαν από το ChatGPT να αναπτύξει μια λειτουργική μονάδα υποστήριξης για έναν διακομιστή OPC UA για να δοκιμάσει την απομακρυσμένη εκτέλεσή τους. Φαίνεται ότι αυτή η ενότητα χρειαζόταν βασικά για τη δημιουργία ενός κακόβουλου διακομιστή για να επιτεθεί στον ευάλωτο πελάτη μέσω της ευπάθειας που βρήκε το duo.

«Επειδή έπρεπε να κάνουμε πολλές τροποποιήσεις για να λειτουργήσει η τεχνική μας εκμετάλλευσης, έπρεπε να κάνουμε πολλές αλλαγές στα υπάρχοντα έργα ανοιχτού κώδικα OPC UA», είπαν οι Moshe και Katz. Το μητρώο.

«Δεδομένου ότι δεν ήμασταν εξοικειωμένοι με τη συγκεκριμένη υλοποίηση του SDK διακομιστή, χρησιμοποιήσαμε το ChatGPT για να επισπεύσουμε τη διαδικασία βοηθώντας μας να χρησιμοποιήσουμε και να τροποποιήσουμε τον υπάρχοντα διακομιστή».

Η ομάδα έδωσε στην τεχνητή νοημοσύνη οδηγίες και χρειάστηκε να κάνει μερικούς γύρους διορθώσεων και «μικρών» αλλαγών μέχρι να καταλήξει σε μια λειτουργική μονάδα διακομιστή υποστήριξης, παραδέχθηκαν.

Αλλά συνολικά, μας είπαν, το chatbot παρείχε ένα χρήσιμο εργαλείο που τους εξοικονόμησε χρόνο, ειδικά όσον αφορά την πλήρωση κενών γνώσης, όπως η εκμάθηση πώς να γράφουν μια λειτουργική μονάδα υποστήριξης και επιτρέποντας στους ανθρώπους να επικεντρωθούν περισσότερο στην εφαρμογή του exploit.

«Το ChatGPT έχει την ικανότητα να είναι ένα εξαιρετικό εργαλείο για την επιτάχυνση της διαδικασίας κωδικοποίησης», είπε το δίδυμο, προσθέτοντας ότι ενίσχυσε την αποτελεσματικότητά τους.  

«Είναι σαν να κάνουμε πολλούς γύρους αναζητήσεων στο Google για ένα συγκεκριμένο πρότυπο κώδικα, και στη συνέχεια να προσθέτουμε πολλαπλούς γύρους τροποποιήσεων στον κώδικα με βάση τις συγκεκριμένες ανάγκες μας, δίνοντάς του μόνο οδηγίες για το τι θέλαμε να επιτύχουμε», είπαν οι Moshe και Katz.

Σύμφωνα με τον Childs, μάλλον έτσι θα δούμε τους εγκληματίες του κυβερνοχώρου να χρησιμοποιούν το ChatGPT σε πραγματικές επιθέσεις εναντίον βιομηχανικών συστημάτων. 

«Η εκμετάλλευση πολύπλοκων συστημάτων είναι πρόκληση και συχνά, οι φορείς απειλών δεν είναι εξοικειωμένοι με κάθε πτυχή ενός συγκεκριμένου στόχου», είπε. Ο Τσάιλντς πρόσθεσε ότι δεν περιμένει να δει εργαλεία που δημιουργούνται από την τεχνητή νοημοσύνη να γράφουν κατορθώματα, «αλλά να παρέχει αυτό το τελευταίο κομμάτι του παζλ που απαιτείται για την επιτυχία».

Και δεν ανησυχεί για την ανάληψη του Pwn2Own από την τεχνητή νοημοσύνη. Τουλάχιστον όχι ακόμα.

«Αυτό είναι ακόμα πολύ μακριά», είπε ο Τσάιλντς. «Ωστόσο, η χρήση του ChatGPT εδώ δείχνει πώς η τεχνητή νοημοσύνη μπορεί να βοηθήσει στη μετατροπή μιας ευπάθειας σε εκμετάλλευση – υπό την προϋπόθεση ότι ο ερευνητής ξέρει πώς να κάνει τις σωστές ερωτήσεις και να αγνοήσει τις λάθος απαντήσεις. Είναι μια ενδιαφέρουσα εξέλιξη στην ιστορία του διαγωνισμού και ανυπομονούμε να δούμε πού μπορεί να οδηγήσει». ®

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/