Нет, ChatGPT еще не выиграл конкурс на уязвимость… пока

Рано или поздно это должно было случиться. Похоже, впервые в истории охотники за ошибками использовали ChatGPT в успешном эксплойте Pwn2Own, помогая исследователям взломать программное обеспечение, используемое в промышленных приложениях, и выиграть 20,000 XNUMX долларов.

Чтобы было ясно: ИИ не нашел уязвимость, не написал и не запустил код для использования конкретной уязвимости. Но его успешное использование в конкурсе сообщений об ошибках может быть предвестником грядущих взломов.

«Это не интерпретация Розеттского камня», — сказал Дастин Чайлдс, руководитель отдела осведомленности об угрозах в Trend Micro Zero Day Initiative (ZDI). Регистр. 

«Это первый шаг к чему-то большему. Мы не думаем, что ИИ — это будущее хакерства, но он, безусловно, может стать отличным помощником, когда исследователь сталкивается с фрагментом кода, с которым он не знаком, или с защитой, которую он не ожидал». 

На конкурсе на прошлой неделе в Майами, Флорида, Команда Клароти82 обратились к ChatGPT за помощью в разработке атаки удаленного выполнения кода на Softing edgeAggregator Siemens — программное обеспечение, обеспечивающее связь на стыке между ОТ (операционными технологиями) и ИТ в промышленных приложениях.  

Технические детали ограничены из-за характера Pwn2Own: люди находят дыры в безопасности, демонстрируют их на сцене, в частном порядке рассказывают, как они это сделали, разработчику или поставщику, требуют приз, и мы все ждем, когда выйдут подробности и патчи. в конце концов, когда будет готов.

А пока мы можем сказать следующее: люди, участвовавшие в эксплойте, исследователи безопасности Ноам Моше и Ури Кац, обнаружили уязвимость в клиенте унифицированной архитектуры OPC (OPC UA), предположительно, в пакете промышленного программного обеспечения edgeAggregator. OPC UA — это протокол связи между машинами, используемый в промышленной автоматизации.

Обнаружив ошибку, исследователи попросили ChatGPT разработать внутренний модуль для сервера OPC UA, чтобы протестировать их эксплойт удаленного выполнения. Казалось бы, этот модуль был нужен, по сути, для создания вредоносного сервера для атаки на уязвимого клиента через уязвимость, обнаруженную дуэтом.

«Поскольку нам пришлось внести множество модификаций, чтобы наша техника эксплуатации работала, нам пришлось внести много изменений в существующие проекты OPC UA с открытым исходным кодом», — рассказали Моше и Кац. Регистр.

«Поскольку мы не были знакомы с конкретной реализацией серверного SDK, мы использовали ChatGPT, чтобы ускорить процесс, помогая нам использовать и модифицировать существующий сервер».

Они признали, что команда предоставила ИИ инструкции, и ей пришлось внести несколько исправлений и «незначительных» изменений, пока не был получен работоспособный серверный модуль.

Но в целом, как нам сказали, чат-бот предоставил полезный инструмент, который сэкономил им время, особенно с точки зрения заполнения пробелов в знаниях, таких как обучение написанию внутреннего модуля и предоставление людям возможности больше сосредоточиться на реализации эксплойта.

«ChatGPT может стать отличным инструментом для ускорения процесса кодирования», — сказал дуэт, добавив, что это повысило их эффективность.  

«Это похоже на многократный поиск в Google определенного шаблона кода, а затем добавление нескольких итераций модификации кода в зависимости от наших конкретных потребностей, исключительно путем указания того, чего мы хотим достичь», — сказали Моше и Кац.

По словам Чайлдса, именно так мы, вероятно, увидим, как киберпреступники будут использовать ChatGPT в реальных атаках на промышленные системы. 

«Использование сложных систем является сложной задачей, и часто злоумышленники не знакомы со всеми аспектами конкретной цели», — сказал он. Чайлдс добавил, что он не ожидает увидеть инструменты, созданные ИИ, для написания эксплойтов, «но предоставляющие последнюю часть головоломки, необходимую для успеха».

И его не беспокоит, что ИИ захватит Pwn2Own. По крайней мере, пока.

«До этого еще далеко, — сказал Чайлдс. «Однако использование ChatGPT здесь показывает, как ИИ может помочь превратить уязвимость в эксплойт — при условии, что исследователь знает, как задавать правильные вопросы и игнорировать неправильные ответы. Это интересное событие в истории соревнований, и мы с нетерпением ждем, к чему оно может привести». ®

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/