มันจะต้องเกิดขึ้นไม่ช้าก็เร็ว ดูเหมือนว่าเป็นครั้งแรกที่นักล่าบั๊กใช้ ChatGPT ในการหาประโยชน์จาก Pwn2Own ที่ประสบความสำเร็จ ช่วยให้นักวิจัยขโมยซอฟต์แวร์ที่ใช้ในแอปพลิเคชันอุตสาหกรรมและรับรางวัล $20,000
เพื่อให้ชัดเจน: AI ไม่พบช่องโหว่หรือเขียนและเรียกใช้โค้ดเพื่อใช้ประโยชน์จากข้อบกพร่องเฉพาะ แต่การใช้งานที่ประสบความสำเร็จในการแข่งขันรายงานข้อผิดพลาดอาจเป็นลางสังหรณ์ของการแฮ็กในอนาคต
“นี่ไม่ใช่การตีความ Rosetta Stone” Dustin Childs หัวหน้าฝ่ายการรับรู้ภัยคุกคามที่ Zero Day Initiative (ZDI) ของ Trend Micro กล่าว ลงทะเบียน.
“มันเป็นก้าวแรกสู่บางสิ่งที่มากกว่านั้น เราไม่คิดว่า AI จะเป็นอนาคตของการแฮ็ก แต่แน่นอนว่ามันสามารถกลายเป็นผู้ช่วยที่ยอดเยี่ยมได้เมื่อนักวิจัยพบรหัสที่ไม่คุ้นเคยหรือการป้องกันที่พวกเขาไม่คาดคิด”
ในการแข่งขันสัปดาห์ที่แล้วที่เมืองไมอามี รัฐฟลอริดา ทีมของ Claroty82 ขอให้ ChatGPT ช่วยพัฒนาการโจมตีด้วยคำสั่งจากระยะไกลกับ Softing edgeAggregator Siemens ซึ่งเป็นซอฟต์แวร์ที่ให้การเชื่อมต่อที่ส่วนต่อประสานระหว่าง OT (เทคโนโลยีการปฏิบัติงาน) และ IT ในแอปพลิเคชันอุตสาหกรรม
รายละเอียดทางเทคนิคมีจำกัดเนื่องจากธรรมชาติของ Pwn2Own: ผู้คนพบช่องโหว่ด้านความปลอดภัย แสดงให้เห็นบนเวที เปิดเผยแบบส่วนตัวว่าพวกเขาทำได้อย่างไรกับผู้พัฒนาหรือผู้จำหน่าย รับรางวัล และเราทุกคนรอรายละเอียดและแพตช์ที่จะออกมา ในที่สุดเมื่อพร้อม
ในระหว่างนี้ เราสามารถพูดได้ดังนี้: มนุษย์ที่เกี่ยวข้องกับการเจาะระบบ นักวิจัยด้านความปลอดภัย Noam Moshe และ Uri Katz ระบุช่องโหว่ในไคลเอนต์ OPC Unified Architecture (OPC UA) ซึ่งน่าจะอยู่ในชุดซอฟต์แวร์อุตสาหกรรม edgeAggregator OPC UA เป็นโปรโตคอลการสื่อสารแบบเครื่องต่อเครื่องที่ใช้ในระบบอัตโนมัติทางอุตสาหกรรม
หลังจากพบข้อบกพร่อง นักวิจัยขอให้ ChatGPT พัฒนาโมดูลส่วนหลังสำหรับเซิร์ฟเวอร์ OPC UA เพื่อทดสอบการใช้ประโยชน์จากการดำเนินการระยะไกล ดูเหมือนว่าโมดูลนี้จำเป็นสำหรับการสร้างเซิร์ฟเวอร์ที่เป็นอันตรายเพื่อโจมตีไคลเอนต์ที่มีช่องโหว่ผ่านช่องโหว่ที่ทั้งคู่พบ
“เนื่องจากเราต้องทำการปรับเปลี่ยนมากมายเพื่อให้เทคนิคการแสวงหาผลประโยชน์ของเราใช้งานได้ เราจึงต้องทำการเปลี่ยนแปลงหลายอย่างกับโครงการ OPC UA แบบโอเพ่นซอร์สที่มีอยู่” Moshe และ Katz กล่าว ลงทะเบียน.
“เนื่องจากเราไม่คุ้นเคยกับการใช้ SDK ของเซิร์ฟเวอร์ที่เฉพาะเจาะจง เราจึงใช้ ChatGPT เพื่อเร่งกระบวนการโดยช่วยให้เราใช้และแก้ไขเซิร์ฟเวอร์ที่มีอยู่”
ทีมงานให้คำแนะนำแก่ AI และต้องทำการแก้ไขสองสามรอบและแก้ไข "เล็กน้อย" จนกว่าจะได้โมดูลเซิร์ฟเวอร์ส่วนหลังที่ใช้งานได้ พวกเขายอมรับ
แต่โดยรวมแล้ว เราได้ยินมาว่าแชทบอทมอบเครื่องมือที่มีประโยชน์ซึ่งช่วยประหยัดเวลา โดยเฉพาะอย่างยิ่งในแง่ของการเติมเต็มช่องว่างความรู้ เช่น การเรียนรู้วิธีเขียนโมดูลแบ็กเอนด์ และช่วยให้มนุษย์มีสมาธิกับการใช้ช่องโหว่มากขึ้น
“ChatGPT มีความสามารถที่จะเป็นเครื่องมือที่ยอดเยี่ยมในการเร่งกระบวนการเขียนโค้ด” ทั้งคู่กล่าว และเสริมว่ามันช่วยเพิ่มประสิทธิภาพของพวกเขา
Moshe และ Katz กล่าวว่า "มันเหมือนกับการค้นหา Google หลายๆ รอบเพื่อหาเทมเพลตโค้ดเฉพาะ จากนั้นจึงเพิ่มการแก้ไขโค้ดหลายรอบตามความต้องการเฉพาะของเรา
จากข้อมูลของ Childs นี่อาจเป็นวิธีที่เราจะเห็นว่าอาชญากรไซเบอร์ใช้ ChatGPT ในการโจมตีระบบอุตสาหกรรมในชีวิตจริง
“การใช้ประโยชน์จากระบบที่ซับซ้อนเป็นสิ่งที่ท้าทาย และบ่อยครั้งที่ผู้คุกคามไม่คุ้นเคยกับทุกแง่มุมของเป้าหมายใดเป้าหมายหนึ่ง” เขากล่าว Childs เสริมว่าเขาไม่คาดหวังว่าจะได้เห็นเครื่องมือที่สร้างโดย AI ในการเขียนหาประโยชน์ “แต่ให้ปริศนาชิ้นสุดท้ายที่จำเป็นสำหรับความสำเร็จ”
และเขาไม่กังวลว่า AI จะเข้าครอบครอง Pwn2Own อย่างน้อยก็ยังไม่ได้
“นั่นยังค่อนข้างห่างไกล” Childs กล่าว “อย่างไรก็ตาม การใช้ ChatGPT ที่นี่แสดงให้เห็นว่า AI สามารถช่วยเปลี่ยนช่องโหว่ให้กลายเป็นช่องโหว่ได้อย่างไร – หากผู้วิจัยรู้วิธีถามคำถามที่ถูกต้องและเพิกเฉยต่อคำตอบที่ผิด เป็นการพัฒนาที่น่าสนใจในประวัติศาสตร์ของการแข่งขัน และเราหวังว่าจะได้เห็นว่ามันอาจนำไปสู่ที่ใด” ®
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/
- 000
- 7
- a
- เกี่ยวกับเรา
- เร่ง
- บรรลุ
- นักแสดง
- ที่เพิ่ม
- ที่ยอมรับ
- กับ
- AI
- ทั้งหมด
- การอนุญาต
- และ
- คำตอบ
- การใช้งาน
- สถาปัตยกรรม
- แง่มุม
- ผู้ช่วย
- โจมตี
- การโจมตี
- อัตโนมัติ
- ความตระหนัก
- แบ็กเอนด์
- ตาม
- เป็นพื้น
- เพราะ
- ระหว่าง
- เพิ่มขึ้น
- ขอบเขต
- Bug
- สร้าง
- ความจุ
- อย่างแน่นอน
- ท้าทาย
- การเปลี่ยนแปลง
- chatbot
- ChatGPT
- ข้อเรียกร้อง
- ชัดเจน
- ไคลเอนต์
- รหัส
- การเข้ารหัส
- อย่างไร
- การสื่อสาร
- การแข่งขัน
- ซับซ้อน
- เกี่ยวข้อง
- การเชื่อมต่อ
- การแก้ไข
- ได้
- อาชญากรไซเบอร์
- วัน
- ป้องกัน
- สาธิต
- รายละเอียด
- พัฒนา
- ผู้พัฒนา
- พัฒนาการ
- DID
- เปิดเผย
- การทำ
- อย่างมีประสิทธิภาพ
- โดยเฉพาะอย่างยิ่ง
- ในที่สุด
- เคย
- ทุกๆ
- การปฏิบัติ
- ที่มีอยู่
- คาดหวัง
- คาดหวังว่า
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- การหาประโยชน์
- คุ้นเคย
- สองสาม
- หา
- หา
- ชื่อจริง
- ครั้งแรก
- ข้อบกพร่อง
- ฟลอริด้า
- โฟกัส
- ข้างหน้า
- พบ
- อนาคต
- ยิ่งใหญ่
- แฮ็ค
- แฮ็ก
- เกิดขึ้น
- หัว
- ช่วย
- การช่วยเหลือ
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- จี้
- ประวัติ
- หลุม
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- อย่างไรก็ตาม
- HTTPS
- มนุษย์
- ระบุ
- การดำเนินงาน
- การดำเนินการ
- in
- อุตสาหกรรม
- Initiative
- คำแนะนำการใช้
- น่าสนใจ
- อินเตอร์เฟซ
- ร่วมมือ
- IT
- ความรู้
- ชื่อสกุล
- นำ
- การเรียนรู้
- ถูก จำกัด
- ดู
- LOOKS
- Lot
- ทำ
- หลาย
- ขณะ
- ไมอามี่
- ผู้เยาว์
- การปรับเปลี่ยน
- แก้ไข
- โมดูล
- ข้อมูลเพิ่มเติม
- หลาย
- ธรรมชาติ
- ความต้องการ
- เปิด
- โอเพนซอร์ส
- การดำเนินงาน
- ทั้งหมด
- ในสิ่งที่สนใจ
- แพทช์
- คน
- ชิ้น
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- รางวัล
- อาจ
- กระบวนการ
- โครงการ
- โปรโตคอล
- ให้
- ให้
- การให้
- ปริศนา
- Pwn2Own
- คำถาม
- RE
- พร้อม
- รีโมท
- นักวิจัย
- นักวิจัย
- รอบ
- วิ่ง
- กล่าวว่า
- SDK
- ความปลอดภัย
- เห็น
- แสดงให้เห็นว่า
- ซีเมนส์
- ตั้งแต่
- ซอฟต์แวร์
- บางสิ่งบางอย่าง
- แหล่ง
- โดยเฉพาะ
- ระยะ
- ขั้นตอน
- ยังคง
- หิน
- ความสำเร็จ
- ที่ประสบความสำเร็จ
- อย่างเช่น
- ชุด
- ระบบ
- การ
- เป้า
- ทีม
- วิชาการ
- เทคโนโลยี
- เทมเพลต
- เงื่อนไขการใช้บริการ
- ทดสอบ
- พื้นที่
- ของพวกเขา
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- เวลา
- ไปยัง
- เครื่องมือ
- เครื่องมือ
- ไปทาง
- เทรนด์
- กลับ
- ปึกแผ่น
- us
- การใช้
- ใช้
- ผู้ขาย
- ผ่านทาง
- ความอ่อนแอ
- อ่อนแอ
- รอ
- อยาก
- สัปดาห์
- อะไร
- ชนะ
- ภายใน
- วอน
- งาน
- จะ
- เขียน
- การเขียน
- ผิด
- ลมทะเล
- เป็นศูนย์
- ศูนย์วัน