Nie, ChatGPT nie wygrał konkursu na błędy bezpieczeństwa… jeszcze

Prędzej czy później musiało to nastąpić. Wygląda na to, że po raz pierwszy w historii łowcy błędów wykorzystali ChatGPT w udanym exploicie Pwn2Own, pomagając naukowcom przejąć kontrolę nad oprogramowaniem używanym w aplikacjach przemysłowych i wygrać 20,000 XNUMX USD.

Dla jasności: sztuczna inteligencja nie znalazła luki w zabezpieczeniach ani nie napisała i nie uruchomiła kodu w celu wykorzystania określonej luki. Ale jego pomyślne wykorzystanie w konkursie zgłaszania błędów może być zwiastunem nadchodzących hacków.

„To nie jest interpretacja kamienia z Rosetty” — powiedział Dustin Childs, szef działu świadomości zagrożeń w programie Zero Day Initiative (ZDI) firmy Trend Micro. Rejestr. 

„To pierwszy krok w kierunku czegoś więcej. Nie sądzimy, by sztuczna inteligencja była przyszłością hakowania, ale z pewnością może stać się świetnym pomocnikiem, gdy badacz natrafi na fragment kodu, którego nie zna, lub na obronę, której się nie spodziewał”. 

Podczas zeszłotygodniowych zawodów w Miami na Florydzie, Zespół Claroty'ego82 poprosił ChatGPT o pomoc w opracowaniu ataku na zdalne wykonanie kodu przeciwko Softing edgeAggregator Siemens — oprogramowaniu, które zapewnia łączność na interfejsie między OT (technologia operacyjna) a IT w aplikacjach przemysłowych.  

Szczegóły techniczne są ograniczone ze względu na naturę Pwn2Own: ludzie znajdują luki w zabezpieczeniach, demonstrują je na scenie, prywatnie ujawniają deweloperowi lub sprzedawcy, w jaki sposób to zrobili, odbierają nagrodę i wszyscy czekamy na ujawnienie szczegółów i poprawek ostatecznie, gdy jest gotowy.

W międzyczasie możemy powiedzieć tak: ludzie zaangażowani w exploit, badacze bezpieczeństwa Noam Moshe i Uri Katz, zidentyfikowali lukę w kliencie OPC Unified Architecture (OPC UA), prawdopodobnie w pakiecie oprogramowania przemysłowego edgeAggregator. OPC UA jest protokołem komunikacyjnym maszyna-maszyna stosowanym w automatyce przemysłowej.

Po znalezieniu błędu badacze poprosili ChatGPT o opracowanie modułu zaplecza dla serwera OPC UA w celu przetestowania luki w zdalnym wykonywaniu. Wygląda na to, że ten moduł był potrzebny do zbudowania złośliwego serwera w celu zaatakowania podatnego klienta za pomocą luki znalezionej przez duet.

„Ponieważ musieliśmy wprowadzić wiele modyfikacji, aby nasza technika eksploatacji działała, musieliśmy wprowadzić wiele zmian w istniejących projektach open source OPC UA” — powiedzieli Moshe i Katz Rejestr.

„Ponieważ nie byliśmy zaznajomieni z konkretną implementacją pakietu SDK serwera, skorzystaliśmy z ChatGPT, aby przyspieszyć ten proces, pomagając nam używać i modyfikować istniejący serwer”.

Przyznali, że zespół dostarczył sztucznej inteligencji instrukcje i musiał wykonać kilka rund poprawek i „drobnych” zmian, zanim powstał działający moduł serwera zaplecza.

Ale ogólnie powiedziano nam, że chatbot zapewnił przydatne narzędzie, które zaoszczędziło im czas, zwłaszcza jeśli chodzi o uzupełnianie luk w wiedzy, takich jak nauka pisania modułu zaplecza i pozwalanie ludziom skupić się bardziej na wdrażaniu exploita.

„ChatGPT może być doskonałym narzędziem przyspieszającym proces kodowania” — powiedział duet, dodając, że zwiększyło to ich wydajność.  

„To tak, jakby przeprowadzać wiele rund wyszukiwania w Google określonego szablonu kodu, a następnie dodawać wiele rund modyfikacji do kodu w oparciu o nasze specyficzne potrzeby, wyłącznie instruując go, co chcieliśmy osiągnąć” — powiedzieli Moshe i Katz.

Według Childsa prawdopodobnie właśnie w ten sposób cyberprzestępcy wykorzystają ChatGPT w rzeczywistych atakach na systemy przemysłowe. 

„Eksploatacja złożonych systemów jest wyzwaniem, a cyberprzestępcy często nie są zaznajomieni z każdym aspektem konkretnego celu” — powiedział. Childs dodał, że nie spodziewa się, że narzędzia generowane przez sztuczną inteligencję będą pisać exploity, „ale dostarczy ostatniego elementu układanki potrzebnego do odniesienia sukcesu”.

I nie martwi się, że AI przejmie Pwn2Own. Przynajmniej jeszcze nie.

„Do tego jeszcze daleko”, powiedział Childs. „Jednak użycie ChatGPT tutaj pokazuje, w jaki sposób sztuczna inteligencja może pomóc zamienić lukę w exploit – pod warunkiem, że badacz wie, jak zadawać właściwe pytania i ignorować błędne odpowiedzi. To interesujący rozwój w historii zawodów i nie możemy się doczekać, aby zobaczyć, dokąd może doprowadzić”. ®

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/