Prej ali slej se je moralo zgoditi. Zdi se, da so lovci na hrošče prvič doslej uporabili ChatGPT v uspešnem izkoriščanju Pwn2Own, s čimer so raziskovalcem pomagali ugrabiti programsko opremo, ki se uporablja v industrijskih aplikacijah, in osvojiti 20,000 $.
Da bo jasno: umetna inteligenca ni našla ranljivosti niti napisala in zagnala kode za izkoriščanje določene napake. Toda njegova uspešna uporaba v tekmovanju za poročanje o napakah bi lahko bila napoved prihodnjih vdorov.
"To ni interpretacija Rosetta Stone," je povedal Dustin Childs, vodja ozaveščanja o grožnjah pri Trend Micro's Zero Day Initiative (ZDI). Register.
»To je prvi korak k nečemu več. Mislimo, da umetna inteligenca ni prihodnost hekanja, vsekakor pa bi se lahko spremenila v odličnega pomočnika, ko raziskovalec naleti na del kode, ki ga ne pozna, ali obrambo, ki je ni pričakoval.«
Na tekmovanju prejšnji teden v Miamiju na Floridi, Clarotyjeva ekipa82 je zaprosil ChatGPT, naj jim pomaga razviti napad z izvajanjem kode na daljavo proti Softing edgeAggregator Siemens – programski opremi, ki zagotavlja povezljivost na vmesniku med OT (operativno tehnologijo) in IT v industrijskih aplikacijah.
Tehnične podrobnosti so omejene zaradi narave Pwn2Own: ljudje najdejo varnostne luknje, jih demonstrirajo na odru, zasebno razkrijejo, kako so to storili razvijalcu ali prodajalcu, zahtevajo nagrado in vsi čakamo, da se razkrijejo podrobnosti in popravki. na koncu, ko bo pripravljen.
Medtem lahko rečemo naslednje: človeka, ki sodelujeta pri izkoriščanju, varnostna raziskovalca Noam Moshe in Uri Katz, sta odkrila ranljivost v odjemalcu OPC Unified Architecture (OPC UA), verjetno znotraj industrijske programske opreme edgeAggregator. OPC UA je komunikacijski protokol stroj-stroj, ki se uporablja v industrijski avtomatizaciji.
Po odkritju hrošča so raziskovalci prosili ChatGPT, naj razvije zaledni modul za strežnik OPC UA, da preizkusi njihovo izkoriščanje oddaljenega izvajanja. Zdi se, da je bil ta modul potreben za izdelavo zlonamernega strežnika za napad na ranljivega odjemalca prek ranljivosti, ki jo je našel dvojec.
»Ker smo morali narediti veliko sprememb, da je naša tehnika izkoriščanja delovala, smo morali narediti veliko sprememb v obstoječih odprtokodnih projektih OPC UA,« sta povedala Moshe in Katz. Register.
»Ker nismo bili seznanjeni s specifično implementacijo strežniškega SDK-ja, smo uporabili ChatGPT, da pospešimo postopek tako, da nam pomaga pri uporabi in spreminjanju obstoječega strežnika.«
Ekipa je AI priskrbela navodila in je morala opraviti nekaj popravkov in "manjših" sprememb, dokler ni prišla do delujočega modula zalednega strežnika, so priznali.
Toda na splošno so nam povedali, da je chatbot zagotovil uporabno orodje, ki jim je prihranilo čas, zlasti v smislu zapolnjevanja vrzeli v znanju, kot je učenje pisanja zalednega modula in omogočanje ljudem, da se bolj osredotočijo na izvajanje izkoriščanja.
"ChatGPT ima sposobnost, da je odlično orodje za pospešitev procesa kodiranja," je dejal dvojec in dodal, da je povečal njihovo učinkovitost.
»To je tako, kot če bi opravili več krogov iskanja v Googlu za določeno predlogo kode, nato pa dodali več krogov sprememb kode na podlagi naših posebnih potreb, izključno tako, da bi ji dali navodila, kaj želimo doseči,« sta povedala Moshe in Katz.
Po mnenju Childsa bomo tako verjetno videli kibernetske kriminalce, ki uporabljajo ChatGPT v resničnih napadih na industrijske sisteme.
"Izkoriščanje kompleksnih sistemov je izziv in akterji groženj pogosto niso seznanjeni z vsemi vidiki določene tarče," je dejal. Childs je dodal, da ne pričakuje, da bo videl orodja, ustvarjena z umetno inteligenco, pisati podvige, "ampak zagotoviti tisti zadnji kos sestavljanke, ki je potreben za uspeh."
In ni zaskrbljen, da bi AI prevzel Pwn2Own. Vsaj še ne.
"To je še precej daleč," je dejal Childs. »Vendar pa uporaba ChatGPT tukaj kaže, kako lahko AI pomaga spremeniti ranljivost v izkoriščanje – pod pogojem, da raziskovalec ve, kako postaviti prava vprašanja in zanemariti napačne odgovore. To je zanimiv razvoj v zgodovini tekmovanja in veselimo se, da bomo videli, kam nas lahko pripelje.” ®
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/
- 000
- 7
- a
- O meni
- pospeševanje
- Doseči
- akterji
- dodano
- priznal
- proti
- AI
- vsi
- Dovoli
- in
- odgovori
- aplikacije
- Arhitektura
- vidik
- Pomočnik
- napad
- Napadi
- Avtomatizacija
- zavest
- Backend
- temeljijo
- V bistvu
- ker
- med
- Povečana
- Bound
- Bug
- izgradnjo
- kapaciteta
- Zagotovo
- izziv
- Spremembe
- chatbot
- ChatGPT
- trdijo
- jasno
- stranke
- Koda
- Kodiranje
- kako
- Komunikacija
- Tekmovanje
- kompleksna
- zaskrbljen
- Povezovanje
- Popravki
- bi
- cybercriminals
- dan
- Defense
- izkazati
- Podrobnosti
- Razvoj
- Razvojni
- Razvoj
- DID
- Razkrije
- tem
- učinkovitosti
- zlasti
- sčasoma
- VEDNO
- Tudi vsak
- izvedba
- obstoječih
- pričakovati
- pričakovati
- Izkoristite
- izkoriščanje
- izkorišča
- seznanjeni
- Nekaj
- Najdi
- iskanje
- prva
- prvič
- napaka
- florida
- Osredotočite
- Naprej
- je pokazala,
- Prihodnost
- veliko
- taksist
- žaga
- se zgodi
- Glava
- pomoč
- pomoč
- tukaj
- ugrabitvijo
- zgodovina
- Luknje
- Kako
- Kako
- Vendar
- HTTPS
- Ljudje
- identificirati
- Izvajanje
- izvajanja
- in
- industrijske
- pobuda
- Navodila
- Zanimivo
- vmesnik
- vključeni
- IT
- znanje
- Zadnja
- vodi
- učenje
- Limited
- Poglej
- POGLEDI
- Sklop
- Znamka
- več
- medtem
- Miami
- mladoletnika
- spremembe
- spremenite
- Moduli
- več
- več
- Narava
- potrebe
- odprite
- open source
- operativno
- Splošni
- zlasti
- Obliži
- ljudje
- kos
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Nagrada
- verjetno
- Postopek
- projekti
- protokol
- če
- zagotavlja
- zagotavljanje
- puzzle
- Pwn2Own
- vprašanja
- RE
- pripravljen
- daljinsko
- raziskovalec
- raziskovalci
- kroge
- Run
- Je dejal
- SDK
- varnost
- videnje
- Razstave
- Siemens
- saj
- Software
- Nekaj
- vir
- specifična
- Stage
- Korak
- Še vedno
- STONE
- uspeh
- uspešno
- taka
- apartma
- sistemi
- ob
- ciljna
- skupina
- tehnični
- Tehnologija
- Predloga
- Pogoji
- Test
- O
- njihove
- Grožnja
- akterji groženj
- čas
- do
- orodje
- orodja
- proti
- Trend
- OBRAT
- poenoteno
- us
- Uporaba
- uporaba
- Prodajalec
- preko
- ranljivost
- Ranljivi
- Počakaj
- hotel
- teden
- Kaj
- zmago
- v
- Zmagali
- delo
- bi
- pisati
- pisanje
- Napačen
- zefirnet
- nič
- Zero dan