नहीं, चैटजीपीटी ने अभी तक कोई सुरक्षा बग प्रतियोगिता नहीं जीती है

नहीं, चैटजीपीटी ने अभी तक कोई सुरक्षा बग प्रतियोगिता नहीं जीती है

समय टिकट: 22 फरवरी, 2023 अपराह्न 3:30 बजे
नहीं, चैटजीपीटी ने सुरक्षा बग प्रतियोगिता नहीं जीती है... अभी तक प्लेटोब्लॉकचेन डेटा इंटेलिजेंस। लंबवत खोज. ऐ.

आज नहीं तो कल, ये तो होना ही था। ऐसा लगता है कि पहली बार, बग शिकारियों ने एक सफल Pwn2Own कारनामे में ChatGPT का उपयोग किया, जिससे शोधकर्ताओं को औद्योगिक अनुप्रयोगों में उपयोग किए जाने वाले सॉफ़्टवेयर को हाईजैक करने और 20,000 डॉलर जीतने में मदद मिली।

स्पष्ट होने के लिए: एआई ने न तो भेद्यता का पता लगाया और न ही किसी विशिष्ट दोष का फायदा उठाने के लिए कोड लिखा और चलाया। लेकिन बग-रिपोर्टिंग प्रतियोगिता में इसका सफल उपयोग आने वाले हैक का अग्रदूत हो सकता है।

ट्रेंड माइक्रो के ज़ीरो डे इनिशिएटिव (ZDI) में खतरे की जागरूकता के प्रमुख डस्टिन चिल्ड्स ने कहा, "यह रोसेटा स्टोन की व्याख्या नहीं कर रहा है।" रजिस्टर

"यह कुछ और की ओर पहला कदम है। हमें नहीं लगता कि एआई हैकिंग का भविष्य है, लेकिन यह निश्चित रूप से एक महान सहायक के रूप में बदल सकता है जब एक शोधकर्ता कोड के एक टुकड़े के खिलाफ आता है जिससे वे परिचित नहीं हैं या एक रक्षा जिसकी वे उम्मीद नहीं कर रहे थे। 

मियामी, फ़्लोरिडा में पिछले सप्ताह की प्रतियोगिता में, क्लैरोटी की टीम82 चैटजीपीटी से सॉफ्टिंग एजएग्रीगेटर सीमेंस के खिलाफ रिमोट कोड निष्पादन हमले को विकसित करने में मदद करने के लिए कहा - सॉफ्टवेयर जो औद्योगिक अनुप्रयोगों में ओटी (ऑपरेशनल टेक्नोलॉजी) और आईटी के बीच इंटरफेस पर कनेक्टिविटी प्रदान करता है।  

Pwn2Own की प्रकृति के कारण तकनीकी विवरण सीमित हैं: लोग सुरक्षा छेद ढूंढते हैं, उन्हें मंच पर प्रदर्शित करते हैं, निजी तौर पर डेवलपर या विक्रेता को बताते हैं कि उन्होंने यह कैसे किया, पुरस्कार का दावा करते हैं, और हम सभी विवरण और पैच सामने आने की प्रतीक्षा करते हैं अंततः जब तैयार हो जाओ।

इस बीच, हम यह कह सकते हैं: शोषण में शामिल मानव, सुरक्षा शोधकर्ता नोम मोशे और उरी काट्ज़ ने संभवतः एजएग्रीगेटर औद्योगिक सॉफ्टवेयर सूट के भीतर ओपीसी यूनिफाइड आर्किटेक्चर (ओपीसी यूए) क्लाइंट में एक भेद्यता की पहचान की। ओपीसी यूए एक मशीन-टू-मशीन संचार प्रोटोकॉल है जिसका उपयोग औद्योगिक स्वचालन में किया जाता है।

बग ढूंढने के बाद, शोधकर्ताओं ने ChatGPT को अपने दूरस्थ निष्पादन शोषण का परीक्षण करने के लिए OPC UA सर्वर के लिए एक बैकएंड मॉड्यूल विकसित करने के लिए कहा। ऐसा प्रतीत होता है कि इस मॉड्यूल की आवश्यकता मूल रूप से एक दुर्भावनापूर्ण सर्वर बनाने के लिए थी ताकि दोनों द्वारा पाई गई भेद्यता के माध्यम से कमजोर क्लाइंट पर हमला किया जा सके।

मोशे और काट्ज़ ने कहा, "चूंकि हमें काम करने के लिए हमारी शोषण तकनीक के लिए बहुत सारे संशोधन करना पड़ा, हमें मौजूदा ओपन सोर्स ओपीसी यूए परियोजनाओं में कई बदलाव करना पड़ा।" रजिस्टर.

"चूंकि हम विशिष्ट सर्वर एसडीके कार्यान्वयन से परिचित नहीं थे, इसलिए हमने मौजूदा सर्वर का उपयोग करने और संशोधित करने में मदद करके प्रक्रिया को तेज करने के लिए चैटजीपीटी का उपयोग किया।"

टीम ने एआई को निर्देश प्रदान किए, और जब तक यह एक व्यावहारिक बैकएंड सर्वर मॉड्यूल के साथ नहीं आया, तब तक कुछ दौर के सुधार और "मामूली" बदलाव करने पड़े, उन्होंने स्वीकार किया।

लेकिन कुल मिलाकर, हमें बताया गया है कि चैटबॉट ने एक उपयोगी उपकरण प्रदान किया, जिसने उनका समय बचाया, विशेष रूप से ज्ञान के अंतराल को भरने के मामले में, जैसे कि बैकएंड मॉड्यूल लिखना सीखना और मनुष्यों को शोषण को लागू करने पर अधिक ध्यान केंद्रित करने की अनुमति देना।

दोनों ने कहा, "चैटजीपीटी में कोडिंग प्रक्रिया को तेज करने के लिए एक महान उपकरण होने की क्षमता है," उन्होंने कहा कि इससे उनकी दक्षता में वृद्धि हुई है।  

मोशे और काट्ज़ ने कहा, "यह एक विशिष्ट कोड टेम्पलेट के लिए Google खोजों के कई दौर करने जैसा है, फिर हमारी विशिष्ट आवश्यकताओं के आधार पर कोड में संशोधन के कई दौर जोड़ना, केवल यह निर्देश देकर कि हम क्या हासिल करना चाहते हैं।"

चिल्ड्स के अनुसार, शायद इसी तरह हम साइबर अपराधियों को औद्योगिक प्रणालियों के खिलाफ वास्तविक जीवन के हमलों में चैटजीपीटी का उपयोग करते हुए देखेंगे। 

"जटिल प्रणालियों का शोषण करना चुनौतीपूर्ण है, और अक्सर, खतरे वाले अभिनेता किसी विशेष लक्ष्य के हर पहलू से परिचित नहीं होते हैं," उन्होंने कहा। चिल्ड्स ने कहा कि वह एआई-जेनरेट किए गए टूल्स को शोषण लिखने की उम्मीद नहीं करता है, "लेकिन सफलता के लिए आवश्यक पहेली का आखिरी टुकड़ा प्रदान करता है।"

और उसे एआई द्वारा Pwn2Own के अधिग्रहण की चिंता नहीं है। कम से कम अब तक नहीं।

चिल्ड्स ने कहा, "यह अभी भी काफी दूर है।" "हालांकि, यहां चैटजीपीटी का उपयोग दिखाता है कि कैसे एआई भेद्यता को एक शोषण में बदलने में मदद कर सकता है - बशर्ते शोधकर्ता सही प्रश्न पूछना और गलत उत्तरों को अनदेखा करना जानता हो। प्रतियोगिता के इतिहास में यह एक दिलचस्प विकास है, और हम यह देखने के लिए उत्सुक हैं कि यह कहाँ तक ले जा सकता है। ®

समय टिकट:

से अधिक रजिस्टर