Előbb-utóbb meg kellett történnie. A hibavadászok először a ChatGPT-t használták a Pwn2Own sikeres kiaknázása során, így segítettek a kutatóknak eltéríteni az ipari alkalmazásokban használt szoftvereket, és 20,000 XNUMX dollárt nyerni.
Az egyértelműség kedvéért: a mesterséges intelligencia nem találta meg a sebezhetőséget, és nem írt és futtatott kódot egy adott hiba kihasználására. De a hibajelentési versenyben való sikeres felhasználása az elkövetkező feltörések előhírnöke lehet.
„Ez nem a Rosetta-kő értelmezése” – mondta Dustin Childs, a Trend Micro Zero Day Initiative (ZDI) fenyegetettségtudatosságért felelős vezetője. A regisztráció.
„Ez az első lépés valami több felé. Nem gondoljuk, hogy a mesterséges intelligencia a hackelés jövője, de minden bizonnyal nagyszerű asszisztenssé válhat, amikor egy kutató olyan kóddal találkozik, amelyet nem ismer, vagy olyan védelemmel találkozik, amelyre nem számított.”
A múlt heti versenyen a floridai Miamiban, Claroty csapata82 felkérte a ChatGPT-t, hogy segítsen nekik egy távoli kódvégrehajtási támadást kifejleszteni a Softing edgeAggregator Siemens ellen – olyan szoftver ellen, amely kapcsolatot biztosít az OT (operációs technológia) és az IT közötti interfészen az ipari alkalmazásokban.
A technikai részletek a Pwn2Own természetéből adódóan korlátozottak: az emberek megtalálják a biztonsági lyukakat, bemutatják azokat a színpadon, privátban elárulják a fejlesztőnek vagy a szállítónak, hogyan csinálták, díjat igényelnek, és mindannyian várjuk, hogy megjelenjenek a részletek és a javítások. végül, ha készen áll.
Mindeközben elmondhatjuk, hogy a kizsákmányolásban résztvevő emberek, Noam Moshe és Uri Katz biztonsági kutatók sérülékenységet azonosítottak egy OPC Unified Architecture (OPC UA) kliensben, feltehetően az edgeAggregator ipari szoftvercsomagon belül. Az OPC UA egy gépek közötti kommunikációs protokoll, amelyet az ipari automatizálásban használnak.
Miután megtalálták a hibát, a kutatók felkérték a ChatGPT-t, hogy fejlesszen ki egy háttérmodult egy OPC UA szerverhez a távoli végrehajtási exploit tesztelésére. Úgy tűnik, erre a modulra egy rosszindulatú szerver létrehozásához volt szükség, amely a duó által talált sebezhetőségen keresztül megtámadja a sebezhető klienst.
„Mivel sok módosítást kellett végrehajtanunk ahhoz, hogy a kiaknázási technikánk működjön, sok változtatást kellett végrehajtanunk a meglévő nyílt forráskódú OPC UA projekteken” – mondta Moshe és Katz. A regisztráció.
"Mivel nem ismertük az adott szerver SDK-megvalósítást, a ChatGPT segítségével felgyorsítottuk a folyamatot azáltal, hogy segítettünk a meglévő szerver használatában és módosításában."
A csapat utasításokkal látta el az AI-t, és néhány kör javítást és „kisebb” módosítást kellett végrehajtania, amíg egy működőképes háttérkiszolgáló modullal nem rendelkezik.
Összességében azonban elmondtuk, hogy a chatbot hasznos eszközt nyújtott számukra, amellyel időt takarítottak meg, különösen a tudásbeli hiányosságok pótlásában, mint például a háttérmodul írásának megtanulása, és lehetővé tette az emberek számára, hogy jobban összpontosítsanak a kizsákmányolás megvalósítására.
"A ChatGPT kiváló eszköz a kódolási folyamat felgyorsítására" - mondta a páros, hozzátéve, hogy ez növelte a hatékonyságukat.
„Olyan ez, mintha sok körben keresnénk a Google-ban egy adott kódsablonra, majd több körben módosítanánk a kódot sajátos igényeink alapján, pusztán úgy, hogy megadjuk neki, hogy mit szeretnénk elérni” – mondta Moshe és Katz.
Childs szerint valószínűleg így fogjuk látni, ahogy a kiberbűnözők a ChatGPT-t használják az ipari rendszerek elleni valós támadásokhoz.
„Az összetett rendszerek kihasználása kihívást jelent, és gyakran a fenyegetés szereplői nem ismerik az adott célpont minden aspektusát” – mondta. Childs hozzátette, hogy nem azt várja, hogy mesterséges intelligencia által generált eszközöket exploitokat írjon, „de a sikerhez szükséges rejtvény utolsó darabját megadja”.
És nem aggódik amiatt, hogy a mesterséges intelligencia átveszi a Pwn2Ownt. Legalábbis még nem.
– Az még nagyon messze van – mondta Childs. „A ChatGPT itt történő használata azonban megmutatja, hogy a mesterséges intelligencia hogyan segíthet a sebezhetőség kihasználásában – feltéve, hogy a kutató tudja, hogyan kell a helyes kérdéseket feltenni, és figyelmen kívül hagyni a rossz válaszokat. Ez egy érdekes fejlemény a verseny történetében, és kíváncsian várjuk, hogy hová vezethet.” ®
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/
- 000
- 7
- a
- Rólunk
- gyorsuló
- Elérése
- szereplők
- hozzáadott
- felvételt nyer
- ellen
- AI
- Minden termék
- lehetővé téve
- és a
- válaszok
- alkalmazások
- építészet
- megjelenés
- Helyettes
- támadás
- Támadások
- Automatizálás
- tudatosság
- háttér
- alapján
- Alapvetően
- mert
- között
- Javítottak
- Köteles
- Bogár
- épít
- Kapacitás
- biztosan
- kihívást
- Változások
- chatbot
- ChatGPT
- követelés
- világos
- vásárló
- kód
- Kódolás
- hogyan
- közlés
- verseny
- bonyolult
- az érintett
- Connectivity
- Hiba
- tudott
- kiberbűnözők
- nap
- Védelem
- bizonyítani
- részletek
- Fejleszt
- Fejlesztő
- Fejlesztés
- DID
- nyilvánosságra
- Ennek
- hatékonyság
- különösen
- végül is
- EVER
- Minden
- végrehajtás
- létező
- vár
- vár
- Exploit
- kizsákmányolás
- hasznosítja
- ismerős
- kevés
- Találjon
- megtalálása
- vezetéknév
- első
- hibája
- Florida
- Összpontosít
- Előre
- talált
- jövő
- nagy
- hacker
- hack
- történik
- fej
- segít
- segít
- itt
- eltérít
- történelem
- Holes
- Hogyan
- How To
- azonban
- HTTPS
- Az emberek
- azonosított
- végrehajtás
- végrehajtási
- in
- ipari
- Kezdeményezés
- utasítás
- érdekes
- Felület
- részt
- IT
- tudás
- keresztnév
- vezet
- tanulás
- Korlátozott
- néz
- MEGJELENÉS
- Sok
- csinál
- sok
- Addig
- Miami
- kisebb
- Módosítások
- módosítása
- Modulok
- több
- többszörös
- Természet
- igények
- nyitva
- nyílt forráskódú
- operatív
- átfogó
- különös
- Patches
- Emberek (People)
- darab
- Plató
- Platón adatintelligencia
- PlatoData
- díj
- valószínűleg
- folyamat
- projektek
- protokoll
- feltéve,
- biztosít
- amely
- kirakós játék
- Pwn2Own
- Kérdések
- RE
- kész
- távoli
- kutató
- kutatók
- fordulóban
- futás
- Mondott
- sdk
- biztonság
- látás
- Műsorok
- Siemens
- óta
- szoftver
- valami
- forrás
- különleges
- Színpad
- Lépés
- Még mindig
- STONE
- siker
- sikeres
- ilyen
- kíséret
- Systems
- bevétel
- cél
- csapat
- Műszaki
- Technológia
- sablon
- feltételek
- teszt
- A
- azok
- fenyegetés
- fenyegetés szereplői
- idő
- nak nek
- szerszám
- szerszámok
- felé
- tendencia
- FORDULAT
- egységes
- us
- Használat
- használ
- eladó
- keresztül
- sebezhetőség
- Sebezhető
- várjon
- kívánatos
- hét
- Mit
- nyer
- belül
- Nyerte
- Munka
- lenne
- ír
- írás
- Rossz
- zephyrnet
- nulla
- Nulla nap
