Ça devait arriver tôt ou tard. Pour ce qui semble être la toute première fois, des chasseurs de bogues ont utilisé ChatGPT dans un exploit Pwn2Own réussi, aidant les chercheurs à détourner des logiciels utilisés dans des applications industrielles et à gagner 20,000 XNUMX $.
Pour être clair : l'IA n'a pas trouvé la vulnérabilité ni écrit et exécuté de code pour exploiter une faille spécifique. Mais son utilisation réussie dans le concours de rapports de bogues pourrait être un signe avant-coureur de hacks à venir.
"Il ne s'agit pas d'interpréter la pierre de Rosette", a déclaré Dustin Childs, responsable de la sensibilisation aux menaces chez Zero Day Initiative (ZDI) de Trend Micro. Le registre.
« C'est un premier pas vers quelque chose de plus. Nous ne pensons pas que l'IA soit l'avenir du piratage, mais elle pourrait certainement devenir un excellent assistant lorsqu'un chercheur se heurte à un morceau de code qu'il ne connaît pas ou à une défense à laquelle il ne s'attendait pas.
Lors du concours de la semaine dernière à Miami, en Floride, L'équipe de Claroty82 a demandé à ChatGPT de l'aider à développer une attaque d'exécution de code à distance contre Softing edgeAggregator Siemens, un logiciel qui fournit une connectivité à l'interface entre OT (technologie opérationnelle) et IT dans les applications industrielles.
Les détails techniques sont limités en raison de la nature de Pwn2Own : les gens trouvent des failles de sécurité, les démontrent sur scène, divulguent en privé comment ils l'ont fait au développeur ou au fournisseur, réclament un prix, et nous attendons tous que les détails et les correctifs sortent. éventuellement quand vous êtes prêt.
En attendant, nous pouvons dire ceci : les humains impliqués dans l'exploit, les chercheurs en sécurité Noam Moshe et Uri Katz, ont identifié une vulnérabilité dans un client OPC Unified Architecture (OPC UA) vraisemblablement dans la suite logicielle industrielle edgeAggregator. OPC UA est un protocole de communication machine à machine utilisé dans l'automatisation industrielle.
Après avoir trouvé le bogue, les chercheurs ont demandé à ChatGPT de développer un module backend pour un serveur OPC UA afin de tester leur exploit d'exécution à distance. Il semblerait que ce module était nécessaire pour construire un serveur malveillant pour attaquer le client vulnérable via la vulnérabilité trouvée par le duo.
"Parce que nous avons dû apporter de nombreuses modifications pour que notre technique d'exploitation fonctionne, nous avons dû apporter de nombreux changements aux projets open source OPC UA existants", ont déclaré Moshe et Katz. Le registre.
"Comme nous n'étions pas familiers avec l'implémentation spécifique du SDK de serveur, nous avons utilisé ChatGPT pour accélérer le processus en nous aidant à utiliser et à modifier le serveur existant."
L'équipe a fourni des instructions à l'IA et a dû effectuer quelques séries de corrections et de modifications "mineures" jusqu'à ce qu'elle propose un module de serveur principal fonctionnel, ont-ils admis.
Mais dans l'ensemble, nous dit-on, le chatbot a fourni un outil utile qui leur a fait gagner du temps, en particulier pour combler les lacunes dans les connaissances, comme apprendre à écrire un module backend et permettre aux humains de se concentrer davantage sur la mise en œuvre de l'exploit.
"ChatGPT a la capacité d'être un excellent outil pour accélérer le processus de codage", a déclaré le duo, ajoutant que cela augmentait leur efficacité.
"C'est comme faire de nombreuses séries de recherches Google pour un modèle de code spécifique, puis ajouter plusieurs séries de modifications au code en fonction de nos besoins spécifiques, uniquement en lui indiquant ce que nous voulions réaliser", ont déclaré Moshe et Katz.
Selon Childs, c'est probablement ainsi que nous verrons les cybercriminels utiliser ChatGPT dans des attaques réelles contre des systèmes industriels.
"L'exploitation de systèmes complexes est difficile, et souvent, les acteurs de la menace ne connaissent pas tous les aspects d'une cible particulière", a-t-il déclaré. Childs a ajouté qu'il ne s'attendait pas à voir des outils générés par l'IA écrire des exploits, "mais fournir la dernière pièce du puzzle nécessaire au succès".
Et il ne craint pas que l'IA prenne le contrôle de Pwn2Own. Au moins pas encore.
"C'est encore assez loin", a déclaré Childs. "Cependant, l'utilisation de ChatGPT ici montre comment l'IA peut aider à transformer une vulnérabilité en exploit - à condition que le chercheur sache poser les bonnes questions et ignorer les mauvaises réponses. C'est un développement intéressant dans l'histoire de la compétition, et nous sommes impatients de voir où cela peut mener. ®
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/
- 000
- 7
- a
- A Propos
- accélérer
- atteindre
- acteurs
- ajoutée
- admis
- à opposer à
- AI
- Tous
- Permettre
- et les
- réponses
- applications
- architecture
- d'aspect
- Assistante gérante
- attaquer
- Attaques
- Automation
- backend
- basé
- En gros
- car
- jusqu'à XNUMX fois
- Boosté
- Bound
- Punaise
- construire
- Compétences
- Assurément
- difficile
- Modifications
- Chatbot
- ChatGPT
- réclamer
- clair
- client
- code
- Codage
- comment
- Communication
- concurrence
- complexe
- concerné
- Connectivité
- Corrections
- pourriez
- les cybercriminels
- journée
- Défense
- démontrer
- détails
- développer
- Développeur
- Développement
- DID
- Divulguer
- faire
- efficace
- notamment
- faire une éventuelle
- JAMAIS
- Chaque
- exécution
- existant
- attendre
- attend
- Exploiter
- exploitation
- exploits
- familier
- few
- Trouvez
- trouver
- Prénom
- première fois
- défaut
- Floride
- Focus
- Avant
- trouvé
- avenir
- l'
- piratage
- hacks
- arriver
- front
- vous aider
- aider
- ici
- détourner
- Histoire
- des trous
- Comment
- How To
- Cependant
- HTTPS
- Les êtres humains
- identifié
- la mise en oeuvre
- la mise en œuvre
- in
- industriel
- initiative
- Des instructions
- intéressant
- Interfaces
- impliqué
- IT
- spécialisées
- Nom
- conduire
- apprentissage
- limité
- Style
- LOOKS
- Lot
- a prendre une
- de nombreuses
- entre-temps
- Miami
- mineur
- Modifications
- modifier
- Module
- PLUS
- plusieurs
- Nature
- Besoins
- ouvert
- open source
- opérationnel
- global
- particulier
- Patches
- Personnes
- pièce
- Platon
- Intelligence des données Platon
- PlatonDonnées
- prix
- Probablement
- processus
- projets
- protocole
- à condition de
- fournit
- aportando
- puzzle
- Pwn2Own
- fréquemment posées
- RE
- solutions
- éloigné
- chercheur
- chercheurs
- tours
- Courir
- Saïd
- Sdk
- sécurité
- voir
- Spectacles
- Siemens
- depuis
- Logiciels
- quelque chose
- Identifier
- groupe de neurones
- Étape
- étapes
- Encore
- PIERRE
- succès
- réussi
- tel
- suite
- Système
- prise
- Target
- équipe
- Technique
- Technologie
- modèle
- conditions
- tester
- Le
- leur
- menace
- acteurs de la menace
- fiable
- à
- outil
- les outils
- vers
- Trend
- TOUR
- unifiée
- us
- Utilisation
- utilisé
- vendeur
- via
- vulnérabilité
- Vulnérable
- attendez
- voulu
- semaine
- Quoi
- gagner
- dans les
- A gagné
- activités principales
- pourra
- écrire
- écriture
- faux
- zéphyrnet
- zéro
- Zero Day
