Trebuia să se întâmple mai devreme sau mai târziu. Pentru ceea ce pare pentru prima dată, vânătorii de erori au folosit ChatGPT într-un exploit de succes Pwn2Own, ajutând cercetătorii să deturneze software-ul folosit în aplicații industriale și să câștige 20,000 de dolari.
Pentru a fi clar: AI nu a găsit vulnerabilitatea și nici nu a scris și rulat cod pentru a exploata un anumit defect. Dar utilizarea sa cu succes în concursul de raportare a erorilor ar putea fi un prevestitor al hackurilor viitoare.
„Aceasta nu este interpretarea pietrei Rosetta”, a declarat Dustin Childs, șeful de conștientizare a amenințărilor la Zero Day Initiative (ZDI) de la Trend Micro. Registrul.
„Este un prim pas către ceva mai mult. Nu credem că AI este viitorul hacking-ului, dar cu siguranță s-ar putea transforma într-un asistent grozav pentru atunci când un cercetător se confruntă cu o bucată de cod cu care nu este familiarizat sau cu o apărare la care nu se aștepta.”
La concursul de săptămâna trecută din Miami, Florida, Echipa lui Claroty82 a cerut ChatGPT să îi ajute să dezvolte un atac de execuție de cod de la distanță împotriva Softing edgeAggregator Siemens — software care oferă conectivitate la interfața dintre OT (tehnologia operațională) și IT în aplicațiile industriale.
Detaliile tehnice sunt limitate din cauza naturii Pwn2Own: oamenii găsesc găuri de securitate, le demonstrează pe scenă, dezvăluie în mod privat cum au făcut-o dezvoltatorului sau vânzătorului, revendică un premiu și așteptăm cu toții ca detaliile și patch-urile să apară. eventual când este gata.
Între timp, putem spune acest lucru: oamenii implicați în exploatare, cercetătorii de securitate Noam Moshe și Uri Katz, au identificat o vulnerabilitate într-un client OPC Unified Architecture (OPC UA), probabil în suita de software industrial edgeAggregator. OPC UA este un protocol de comunicare mașină la mașină utilizat în automatizarea industrială.
După ce au găsit eroarea, cercetătorii au cerut ChatGPT să dezvolte un modul backend pentru un server OPC UA pentru a-și testa exploitul de execuție de la distanță. S-ar părea că acest modul a fost necesar pentru a construi practic un server rău intenționat pentru a ataca clientul vulnerabil prin vulnerabilitatea găsită de duo.
„Deoarece a trebuit să facem multe modificări pentru ca tehnica noastră de exploatare să funcționeze, a trebuit să facem multe modificări la proiectele OPC UA open source existente”, au spus Moshe și Katz. Registrul.
„Deoarece nu eram familiarizați cu implementarea SDK-ului serverului specific, am folosit ChatGPT pentru a accelera procesul, ajutându-ne să folosim și să modificăm serverul existent.”
Echipa a oferit AI instrucțiuni și a trebuit să facă câteva runde de corecții și modificări „minore” până când a venit cu un modul de server backend funcțional, au recunoscut ei.
Dar, în general, ni s-a spus, chatbot-ul a oferit un instrument util care le-a economisit timp, în special în ceea ce privește completarea lacunelor de cunoștințe, cum ar fi învățarea cum să scrie un modul de backend și le-a permis oamenilor să se concentreze mai mult pe implementarea exploit-ului.
„ChatGPT are capacitatea de a fi un instrument excelent pentru accelerarea procesului de codare”, au spus cei doi, adăugând că le-a sporit eficiența.
„Este ca și cum am face multe runde de căutări pe Google pentru un anumit șablon de cod, apoi adăugăm mai multe runde de modificări la cod în funcție de nevoile noastre specifice, doar prin instruirea lui ce dorim să obținem”, au spus Moshe și Katz.
Potrivit Childs, probabil așa vom vedea infractorii cibernetici folosind ChatGPT în atacuri din viața reală împotriva sistemelor industriale.
„Exploarea sistemelor complexe este o provocare și, adesea, actorii amenințărilor nu sunt familiarizați cu fiecare aspect al unei anumite ținte”, a spus el. Childs a adăugat că nu se așteaptă să vadă instrumente generate de inteligență artificială scriind exploit, „dar oferind ultima piesă a puzzle-ului necesară pentru succes”.
Și nu este îngrijorat de faptul că AI preia Pwn2Own. Cel puțin nu încă.
„Asta e încă destul de departe”, a spus Childs. „Cu toate acestea, utilizarea ChatGPT aici arată cum AI poate ajuta la transformarea unei vulnerabilități într-un exploit – cu condiția ca cercetătorul să știe să pună întrebările potrivite și să ignore răspunsurile greșite. Este o dezvoltare interesantă în istoria competiției și așteptăm cu nerăbdare să vedem unde poate duce.” ®
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/
- 000
- 7
- a
- Despre Noi
- accelerarea
- Obține
- actori
- adăugat
- admise
- împotriva
- AI
- TOATE
- Permiterea
- și
- răspunsuri
- aplicatii
- arhitectură
- aspect
- Asistent
- ataca
- Atacuri
- Automatizare
- gradului de conştientizare
- Backend
- bazat
- Pe scurt
- deoarece
- între
- amplificat
- Legat
- Bug
- construi
- Capacitate
- cu siguranță
- provocare
- Modificări
- chatbot
- Chat GPT
- pretinde
- clar
- client
- cod
- Codificare
- cum
- Comunicare
- concurs
- complex
- îngrijorat
- Suport conectare
- Corectarea
- ar putea
- cybercriminals
- zi
- Apărare
- demonstra
- detalii
- dezvolta
- Dezvoltator
- Dezvoltare
- FĂCUT
- dezvălui
- face
- eficiență
- mai ales
- în cele din urmă
- EVER
- Fiecare
- execuție
- existent
- aștepta
- aşteaptă
- Exploata
- exploatare
- exploit
- familiar
- puțini
- Găsi
- descoperire
- First
- prima dată
- defect
- florida
- Concentra
- Înainte
- găsit
- viitor
- mare
- hacking
- hacks
- întâmpla
- cap
- ajutor
- ajutor
- aici
- hijack
- istorie
- găuri
- Cum
- Cum Pentru a
- Totuși
- HTTPS
- Oamenii
- identificat
- implementarea
- Punere în aplicare a
- in
- industrial
- Inițiativă
- instrucțiuni
- interesant
- interfaţă
- implicat
- IT
- cunoştinţe
- Nume
- conduce
- învăţare
- Limitat
- Uite
- Se pare
- Lot
- face
- multe
- între timp
- Miami
- minor
- modificările aduse
- modifica
- Module
- mai mult
- multiplu
- Natură
- nevoilor
- deschide
- open-source
- operațional
- global
- special
- Patch-uri
- oameni
- bucată
- Plato
- Informații despre date Platon
- PlatoData
- premiu
- probabil
- proces
- Proiecte
- protocol
- prevăzut
- furnizează
- furnizarea
- puzzle
- Pwn2Own
- Întrebări
- RE
- gata
- la distanta
- cercetător
- cercetători
- runde
- Alerga
- Said
- sdk
- securitate
- vedere
- Emisiuni
- Siemens
- întrucât
- Software
- ceva
- Sursă
- specific
- Etapă
- Pas
- Încă
- PIATRA
- succes
- de succes
- astfel de
- suită
- sisteme
- luare
- Ţintă
- echipă
- Tehnic
- Tehnologia
- șablon
- termeni
- test
- lor
- amenințare
- actori amenințători
- timp
- la
- instrument
- Unelte
- față de
- tendință
- ÎNTORCĂ
- unificat
- us
- Folosire
- utilizare
- vânzător
- de
- vulnerabilitate
- vulnerabil
- aștepta
- dorit
- săptămână
- Ce
- câştiga
- în
- Castigat
- Apartamente
- ar
- scrie
- scris
- Greșit
- zephyrnet
- zero
- Zero Zero
