Рано или поздно это должно было случиться. Похоже, впервые в истории охотники за ошибками использовали ChatGPT в успешном эксплойте Pwn2Own, помогая исследователям взломать программное обеспечение, используемое в промышленных приложениях, и выиграть 20,000 XNUMX долларов.
Чтобы было ясно: ИИ не нашел уязвимость, не написал и не запустил код для использования конкретной уязвимости. Но его успешное использование в конкурсе сообщений об ошибках может быть предвестником грядущих взломов.
«Это не интерпретация Розеттского камня», — сказал Дастин Чайлдс, руководитель отдела осведомленности об угрозах в Trend Micro Zero Day Initiative (ZDI). Регистр.
«Это первый шаг к чему-то большему. Мы не думаем, что ИИ — это будущее хакерства, но он, безусловно, может стать отличным помощником, когда исследователь сталкивается с фрагментом кода, с которым он не знаком, или с защитой, которую он не ожидал».
На конкурсе на прошлой неделе в Майами, Флорида, Команда Клароти82 обратились к ChatGPT за помощью в разработке атаки удаленного выполнения кода на Softing edgeAggregator Siemens — программное обеспечение, обеспечивающее связь на стыке между ОТ (операционными технологиями) и ИТ в промышленных приложениях.
Технические детали ограничены из-за характера Pwn2Own: люди находят дыры в безопасности, демонстрируют их на сцене, в частном порядке рассказывают, как они это сделали, разработчику или поставщику, требуют приз, и мы все ждем, когда выйдут подробности и патчи. в конце концов, когда будет готов.
А пока мы можем сказать следующее: люди, участвовавшие в эксплойте, исследователи безопасности Ноам Моше и Ури Кац, обнаружили уязвимость в клиенте унифицированной архитектуры OPC (OPC UA), предположительно, в пакете промышленного программного обеспечения edgeAggregator. OPC UA — это протокол связи между машинами, используемый в промышленной автоматизации.
Обнаружив ошибку, исследователи попросили ChatGPT разработать внутренний модуль для сервера OPC UA, чтобы протестировать их эксплойт удаленного выполнения. Казалось бы, этот модуль был нужен, по сути, для создания вредоносного сервера для атаки на уязвимого клиента через уязвимость, обнаруженную дуэтом.
«Поскольку нам пришлось внести множество модификаций, чтобы наша техника эксплуатации работала, нам пришлось внести много изменений в существующие проекты OPC UA с открытым исходным кодом», — рассказали Моше и Кац. Регистр.
«Поскольку мы не были знакомы с конкретной реализацией серверного SDK, мы использовали ChatGPT, чтобы ускорить процесс, помогая нам использовать и модифицировать существующий сервер».
Они признали, что команда предоставила ИИ инструкции, и ей пришлось внести несколько исправлений и «незначительных» изменений, пока не был получен работоспособный серверный модуль.
Но в целом, как нам сказали, чат-бот предоставил полезный инструмент, который сэкономил им время, особенно с точки зрения заполнения пробелов в знаниях, таких как обучение написанию внутреннего модуля и предоставление людям возможности больше сосредоточиться на реализации эксплойта.
«ChatGPT может стать отличным инструментом для ускорения процесса кодирования», — сказал дуэт, добавив, что это повысило их эффективность.
«Это похоже на многократный поиск в Google определенного шаблона кода, а затем добавление нескольких итераций модификации кода в зависимости от наших конкретных потребностей, исключительно путем указания того, чего мы хотим достичь», — сказали Моше и Кац.
По словам Чайлдса, именно так мы, вероятно, увидим, как киберпреступники будут использовать ChatGPT в реальных атаках на промышленные системы.
«Использование сложных систем является сложной задачей, и часто злоумышленники не знакомы со всеми аспектами конкретной цели», — сказал он. Чайлдс добавил, что он не ожидает увидеть инструменты, созданные ИИ, для написания эксплойтов, «но предоставляющие последнюю часть головоломки, необходимую для успеха».
И его не беспокоит, что ИИ захватит Pwn2Own. По крайней мере, пока.
«До этого еще далеко, — сказал Чайлдс. «Однако использование ChatGPT здесь показывает, как ИИ может помочь превратить уязвимость в эксплойт — при условии, что исследователь знает, как задавать правильные вопросы и игнорировать неправильные ответы. Это интересное событие в истории соревнований, и мы с нетерпением ждем, к чему оно может привести». ®
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/
- 000
- 7
- a
- О нас
- ускоряющий
- Достигать
- актеры
- добавленный
- признал
- против
- AI
- Все
- Позволяющий
- и
- ответы
- Приложения
- архитектура
- внешний вид
- помощник
- атаковать
- нападки
- автоматизация
- осведомленность
- Backend
- основанный
- в основном
- , так как:
- между
- Повышенный
- Граница
- Ошибка
- строить
- Пропускная способность
- конечно
- сложные
- изменения
- Chatbot
- ChatGPT
- утверждать
- Очистить
- клиент
- код
- Кодирование
- как
- Связь
- конкурс
- комплекс
- обеспокоенный
- связь
- исправления
- может
- киберпреступники
- день
- Защита
- демонстрировать
- подробнее
- развивать
- Застройщик
- Развитие
- DID
- Раскрывать
- дело
- затрат
- особенно
- со временем
- НИКОГДА
- Каждая
- выполнение
- существующий
- ожидать
- ожидается
- Эксплуатировать
- эксплуатация
- использует
- знакомый
- несколько
- Найдите
- обнаружение
- Во-первых,
- Впервые
- недостаток
- Флорида
- Фокус
- вперед
- найденный
- будущее
- большой
- взлом
- взломы
- происходить
- помощь
- помощь
- здесь
- похищать
- история
- Отверстия
- Как
- How To
- Однако
- HTTPS
- Людей
- идентифицированный
- реализация
- Осуществляющий
- in
- промышленность
- Инициатива
- инструкции
- интересный
- Интерфейс
- вовлеченный
- IT
- знания
- Фамилия
- вести
- изучение
- Ограниченный
- посмотреть
- ВЗГЛЯДЫ
- серия
- сделать
- многих
- то время
- Miami
- небольшая
- изменения
- изменять
- Модули
- БОЛЕЕ
- с разными
- природа
- потребности
- открытый
- с открытым исходным кодом
- оперативный
- общий
- особый
- Патчи
- Люди
- кусок
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- приз
- вероятно
- процесс
- проектов
- протокол
- при условии
- приводит
- обеспечение
- головоломка
- Pwn2Own
- Вопросы
- RE
- готовый
- удаленные
- исследователь
- исследователи
- туры
- Run
- Сказал
- SDK
- безопасность
- видя
- Шоу
- Сименс
- с
- Software
- удалось
- Источник
- конкретный
- Этап
- Шаг
- По-прежнему
- КАМЕНЬ
- успех
- успешный
- такие
- suite
- системы
- с
- цель
- команда
- Технический
- Технологии
- шаблон
- terms
- тестXNUMX
- Ассоциация
- их
- угроза
- актеры угрозы
- время
- в
- инструментом
- инструменты
- к
- тенденция
- ОЧЕРЕДЬ
- унифицированный
- us
- Применение
- использование
- продавец
- с помощью
- уязвимость
- Уязвимый
- ждать
- стремятся
- неделя
- Что
- выиграть
- в
- Выиграл
- Работа
- бы
- записывать
- письмо
- Неправильно
- зефирнет
- нуль
- Zero Day