Ei, ChatGPT ei ole voittanut tietoturvavirhekilpailua… vielä

Sen piti tapahtua ennemmin tai myöhemmin. Vianmetsästäjät käyttivät ChatGPT:tä onnistuneessa Pwn2Own-hyödyntämisessä, mikä näyttää ensimmäistä kertaa, auttaen tutkijoita kaappaamaan teollisissa sovelluksissa käytettyjä ohjelmistoja ja voittamaan 20,000 XNUMX dollaria.

Selvyyden vuoksi: tekoäly ei löytänyt haavoittuvuutta eikä kirjoittanut ja suorittanut koodia tietyn puutteen hyödyntämiseksi. Mutta sen onnistunut käyttö bugiraportointikilpailussa saattaa olla tulevien hakkerointien ennakkoedustaja.

"Tämä ei ole Rosettan kiven tulkintaa", sanoi Dustin Childs, Trend Micron Zero Day Initiativen (ZDI) uhkatietoisuuden johtaja. Rekisteri. 

"Se on ensimmäinen askel kohti jotain enemmän. Emme usko, että tekoäly on hakkeroinnin tulevaisuus, mutta siitä voi varmasti muodostua loistava apulainen, kun tutkija kohtaa koodinpätkän, jota hän ei tunne, tai puolustusta, jota hän ei odottanut." 

Viime viikon kilpailussa Miamissa, Floridassa, Clarotyn tiimi82 pyysi ChatGPT:tä auttamaan heitä kehittämään koodin etäsuoritushyökkäyksen Softing edgeAggregator Siemens -ohjelmistoa vastaan, joka tarjoaa yhteyden OT:n (operational technology) ja IT:n väliseen rajapintaan teollisissa sovelluksissa.  

Tekniset yksityiskohdat ovat rajallisia Pwn2Ownin luonteen vuoksi: ihmiset löytävät turva-aukkoja, esittelevät niitä lavalla, paljastavat yksityisesti, kuinka he tekivät sen kehittäjälle tai myyjälle, lunastavat palkinnon, ja me kaikki odotamme yksityiskohtien ja korjaustiedostojen ilmestymistä. lopulta kun on valmis.

Sillä välin voimme sanoa tämän: hyväksikäyttöön osallistuneet ihmiset, tietoturvatutkijat Noam Moshe ja Uri Katz, tunnistivat haavoittuvuuden OPC Unified Architecture (OPC UA) -asiakkaassa oletettavasti EdgeAggregatorin teollisessa ohjelmistopaketissa. OPC UA on koneen välinen tiedonsiirtoprotokolla, jota käytetään teollisuusautomaatiossa.

Vian löytämisen jälkeen tutkijat pyysivät ChatGPT:tä kehittämään taustamoduulin OPC UA -palvelimelle testatakseen heidän etäsuorituksensa hyväksikäyttöä. Vaikuttaa siltä, ​​että tätä moduulia tarvittiin periaatteessa haitallisen palvelimen rakentamiseen hyökkäämään haavoittuvaa asiakasta vastaan ​​​​kakson löytämän haavoittuvuuden kautta.

"Koska meidän piti tehdä paljon muutoksia, jotta hyödyntämistekniikkamme toimisi, jouduimme tekemään monia muutoksia olemassa oleviin avoimen lähdekoodin OPC UA -projekteihin", Moshe ja Katz kertoivat. Rekisteri.

"Koska emme tunteneet tiettyä palvelimen SDK-toteutusta, käytimme ChatGPT:tä nopeuttaaksemme prosessia auttamalla meitä käyttämään ja muokkaamaan olemassa olevaa palvelinta."

He myönsivät, että tiimi toimitti tekoälylle ohjeita, ja sen täytyi tehdä muutama korjauskierros ja "pieniä" muutoksia, kunnes se keksi toimivan taustapalvelinmoduulin.

Mutta kaiken kaikkiaan meille kerrotaan, että chatbot tarjosi heille hyödyllisen työkalun, joka säästi heidän aikaa, erityisesti mitä tulee tietopuutteiden täyttämiseen, kuten taustamoduulin kirjoittamisen opettelemiseen ja ihmisten keskittymisen enemmän hyväksikäytön toteuttamiseen.

"ChatGPT:llä on kyky olla loistava työkalu koodausprosessin nopeuttamiseen", kaksikko sanoi ja lisäsi, että se lisäsi heidän tehokkuuttaan.  

"Se on kuin tekisi useita Google-hakukierroksia tietylle koodimallille ja lisäisi sitten useita muutoksia koodiin erityistarpeidemme perusteella, pelkästään ohjeistamalla sitä, mitä halusimme saavuttaa", Moshe ja Katz sanoivat.

Childsin mukaan näin tulemme todennäköisesti näkemään kyberrikollisten käyttävän ChatGPT:tä tosielämän hyökkäyksissä teollisuusjärjestelmiä vastaan. 

"Monimutkaisten järjestelmien hyödyntäminen on haastavaa, ja usein uhkatoimijat eivät tunne tietyn kohteen kaikkia näkökohtia", hän sanoi. Childs lisäsi, että hän ei odota näkevänsä tekoälyn luomia työkaluja kirjoittavansa hyökkäyksiä, "mutta tarjoavansa viimeisen palapelin, jota tarvitaan menestykseen."

Hän ei ole huolissaan siitä, että tekoäly valtaa Pwn2Ownin. Ei ainakaan vielä.

"Se on vielä melko kaukana", Childs sanoi. "ChatGPT:n käyttö tässä kuitenkin osoittaa, kuinka tekoäly voi auttaa muuttamaan haavoittuvuuden hyväksikäytöksi – edellyttäen, että tutkija osaa kysyä oikeita kysymyksiä ja jättää huomiotta väärät vastaukset. Se on mielenkiintoinen kehitys kilpailun historiassa, ja odotamme innolla, mihin se voi johtaa. ®

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/