זה היה חייב לקרות במוקדם או במאוחר. למה שנראה כמו הפעם הראשונה אי פעם, ציידי באגים השתמשו ב-ChatGPT בניצול מוצלח של Pwn2Own, ועזרו לחוקרים לחטוף תוכנות המשמשות ביישומים תעשייתיים ולזכות ב-20,000 דולר.
שיהיה ברור: ה-AI לא מצא את הפגיעות ולא כתב והריץ קוד כדי לנצל פגם ספציפי. אבל השימוש המוצלח שלו בתחרות דיווח באגים יכול להיות מבשר של פריצות שיבואו.
"זה לא מפרש את אבן הרוזטה", אמר דסטין צ'יילדס, ראש מחלקת מודעות לאיומים ביוזמת Zero Day של Trend Micro (ZDI) הקופה.
"זהו צעד ראשון לקראת משהו נוסף. אנחנו לא חושבים שבינה מלאכותית היא העתיד של הפריצה, אבל זה בהחלט יכול להפוך לעוזר נהדר כאשר חוקר נתקל בחתיכת קוד שהוא לא מכיר או הגנה שלא ציפו לו".
בתחרות בשבוע שעבר במיאמי, פלורידה, הצוות של קלרוטי82 ביקשה מ-ChatGPT לעזור להם לפתח מתקפת ביצוע קוד מרחוק נגד Softing edgeAggregator Siemens - תוכנה המספקת קישוריות בממשק בין OT (טכנולוגיה תפעולית) ו-IT ביישומים תעשייתיים.
הפרטים הטכניים מוגבלים בשל האופי של Pwn2Own: אנשים מוצאים פרצות אבטחה, מדגימים אותם על הבמה, חושפים באופן פרטי איך הם עשו זאת למפתח או לספק, תובעים פרס וכולנו מחכים שהפרטים והתיקונים ייצאו בסופו של דבר כשמוכן.
בינתיים אפשר לומר זאת: בני האדם המעורבים בניצול, חוקרי האבטחה נועם משה ואורי כץ, זיהו פגיעות בלקוח של OPC Unified Architecture (OPC UA) ככל הנראה בתוך חבילת התוכנה התעשייתית edgeAggregator. OPC UA הוא פרוטוקול תקשורת מכונה למכונה המשמש באוטומציה תעשייתית.
לאחר מציאת הבאג, החוקרים ביקשו מ-ChatGPT לפתח מודול אחורי עבור שרת OPC UA כדי לבדוק את ניצול הביצוע מרחוק שלהם. נראה שהמודול הזה נחוץ בעצם כדי לבנות שרת זדוני כדי לתקוף את הלקוח הפגיע באמצעות הפגיעות שהצמד מצא.
"מכיוון שהיינו צריכים לבצע שינויים רבים כדי שטכניקת הניצול שלנו תעבוד, היינו צריכים לבצע שינויים רבים בפרויקטים קיימים של OPC UA בקוד פתוח", אמרו משה וכץ. הקופה.
"מכיוון שלא הכרנו את יישום ה-SDK של השרת הספציפי, השתמשנו ב-ChatGPT כדי לזרז את התהליך על ידי סיוע לנו להשתמש בשרת הקיים ולשנות אותו."
הצוות סיפק ל-AI הוראות, ואכן נאלץ לבצע כמה סבבים של תיקונים ושינויים "קלים" עד שהגיע עם מודול שרת אחורי שניתן לעבודה, הם הודו.
אבל בסך הכל, נאמר לנו, הצ'אטבוט סיפק כלי שימושי שחסך להם זמן, במיוחד במונחים של מילוי פערי ידע כמו לימוד איך לכתוב מודול אחורי ולאפשר לבני האדם להתמקד יותר ביישום הניצול.
"ל-ChatGPT יש את היכולת להיות כלי נהדר להאצת תהליך הקידוד", אמרו הצמד, והוסיפו כי זה הגביר את היעילות שלהם.
"זה כמו לעשות סבבים רבים של חיפושים בגוגל עבור תבנית קוד ספציפית, ואז להוסיף סבבים מרובים של שינויים לקוד בהתבסס על הצרכים הספציפיים שלנו, אך ורק על ידי הנחייתו מה אנחנו רוצים להשיג", אמרו משה וכץ.
לפי צ'ילדס, כנראה שכך נראה פושעי סייבר משתמשים ב-ChatGPT בהתקפות אמיתיות נגד מערכות תעשייתיות.
"ניצול מערכות מורכבות הוא מאתגר, ולעתים קרובות, גורמי איומים אינם מכירים כל היבט של יעד מסוים", אמר. צ'יילדס הוסיף כי הוא לא מצפה לראות כלים שנוצרו על ידי בינה מלאכותית לכתיבה, "אלא מספקים את החלק האחרון בפאזל הדרוש להצלחה".
והוא לא מודאג מכך שה-AI השתלט על Pwn2Own. לפחות עדיין לא.
"זה עדיין רחוק," אמר צ'יילדס. "עם זאת, השימוש ב-ChatGPT כאן מראה כיצד AI יכול לעזור להפוך פגיעות לניצול - בתנאי שהחוקר יודע לשאול את השאלות הנכונות ולהתעלם מהתשובות השגויות. זו התפתחות מעניינת בהיסטוריה של התחרות, ואנחנו מצפים לראות לאן היא עשויה להוביל”. ®
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/
- 000
- 7
- a
- אודות
- מאיצה
- להשיג
- שחקנים
- הוסיף
- הודה
- נגד
- AI
- תעשיות
- מאפשר
- ו
- תשובות
- יישומים
- ארכיטקטורה
- אספקט
- עוזר
- לתקוף
- המתקפות
- אוטומציה
- מודעות
- קצה אחורי
- מבוסס
- בעיקרון
- כי
- בֵּין
- שיפרה
- כָּרוּך
- חרק
- לִבנוֹת
- קיבולת
- בהחלט
- אתגר
- שינויים
- chatbot
- ChatGPT
- לטעון
- ברור
- לקוחות
- קוד
- סִמוּל
- איך
- תקשורת
- תחרות
- מורכב
- מודאג
- קישוריות
- תיקונים
- יכול
- עברייני אינטרנט
- יְוֹם
- גופי בטחון
- להפגין
- פרטים
- לפתח
- מפתח
- צעצועי התפתחות
- DID
- לחשוף
- עושה
- יְעִילוּת
- במיוחד
- בסופו של דבר
- אי פעם
- כל
- הוצאת להורג
- קיימים
- לצפות
- מצפה
- לנצל
- ניצול
- מעללים
- מוכר
- מעטים
- מציאת
- ראשון
- firsttime
- פגם
- פלורידה
- להתמקד
- קדימה
- מצא
- עתיד
- גדול
- פריצה
- פריצות
- לקרות
- ראש
- לעזור
- עזרה
- כאן
- חֲטִיפָה
- היסטוריה
- חורים
- איך
- איך
- אולם
- HTTPS
- בני אדם
- מזוהה
- הפעלה
- יישום
- in
- התעשייה
- יוזמה
- הוראות
- מעניין
- מִמְשָׁק
- מעורב
- IT
- ידע
- אחרון
- עוֹפֶרֶת
- למידה
- מוגבל
- נראה
- נראה
- מגרש
- לעשות
- רב
- בינתיים
- מיאמי
- קטין
- שינויים
- לשנות
- מודול
- יותר
- מספר
- טבע
- צרכי
- לפתוח
- קוד פתוח
- מבצעי
- מקיף
- מסוים
- טלאים
- אֲנָשִׁים
- לְחַבֵּר
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- הפרס
- כנראה
- תהליך
- פרויקטים
- פרוטוקול
- ובלבד
- מספק
- מתן
- חִידָה
- Pwn2Own
- שאלות
- RE
- מוכן
- מרחוק
- חוקר
- חוקרים
- סיבובים
- הפעלה
- אמר
- Sdk
- אבטחה
- ראות
- הופעות
- סימנס
- since
- תוכנה
- משהו
- מָקוֹר
- ספציפי
- התמחות
- שלב
- עוד
- אבן
- הצלחה
- מוצלח
- כזה
- מערכת
- מערכות
- נטילת
- יעד
- נבחרת
- טכני
- טכנולוגיה
- תבנית
- מונחים
- מבחן
- השמיים
- שֶׁלָהֶם
- איום
- איום שחקנים
- זמן
- ל
- כלי
- כלים
- לקראת
- מְגַמָה
- תור
- מאוחד
- us
- נוֹהָג
- להשתמש
- מוכר
- באמצעות
- פגיעות
- פגיע
- לחכות
- רציתי
- שבוע
- מה
- לנצח
- בתוך
- נצחנות
- תיק עבודות
- היה
- לכתוב
- כתיבה
- טעות
- זפירנט
- אפס
- יום אפס