Hayır, ChatGPT henüz bir güvenlik hatası yarışmasını kazanmadı...

Er ya da geç böyle olacağı belliydi. Böcek avcıları, ChatGPT'yi şimdiye kadar ilk kez başarılı bir Pwn2Own istismarında kullanarak, araştırmacıların endüstriyel uygulamalarda kullanılan yazılımları ele geçirmelerine ve 20,000 $ kazanmalarına yardımcı oldu.

Açık olmak gerekirse: AI, güvenlik açığını bulamadı veya belirli bir kusurdan yararlanmak için kod yazıp çalıştırmadı. Ancak hata raporlama yarışmasındaki başarılı kullanımı, gelecek saldırıların habercisi olabilir.

Trend Micro'nun Zero Day Initiative (ZDI) tehdit farkındalığı başkanı Dustin Childs, "Bu, Rosetta Stone'u yorumlamıyor," dedi. Kayıt. 

“Daha fazla bir şeye doğru ilk adım. Yapay zekanın bilgisayar korsanlığının geleceği olduğunu düşünmüyoruz, ancak bir araştırmacı aşina olmadığı bir kod parçasıyla veya beklemediği bir savunmayla karşılaştığında kesinlikle harika bir yardımcıya dönüşebilir.” 

Geçen hafta Miami, Florida'daki yarışmada, Claroty'nin Takımı82 ChatGPT'den, endüstriyel uygulamalarda OT (operasyonel teknoloji) ile BT arasındaki arayüzde bağlantı sağlayan Softing edgeAggregator Siemens yazılımına karşı bir uzaktan kod yürütme saldırısı geliştirmelerine yardımcı olmasını istedi.  

Pwn2Own'un doğası gereği teknik ayrıntılar sınırlıdır: insanlar güvenlik açıkları bulur, bunları sahnede gösterir, bunu nasıl yaptıklarını özel olarak geliştiriciye veya satıcıya açıklar, bir ödül talep eder ve hepimiz ayrıntıların ve yamaların çıkmasını bekleriz sonunda hazır olduğunda.

Bu arada şunu söyleyebiliriz: İstismara karışan insanlar, güvenlik araştırmacıları Noam Moshe ve Uri Katz, bir OPC Unified Architecture (OPC UA) istemcisinde, muhtemelen edgeAggregator endüstriyel yazılım paketinde bir güvenlik açığı tespit ettiler. OPC UA, endüstriyel otomasyonda kullanılan bir makineden makineye iletişim protokolüdür.

Araştırmacılar, hatayı bulduktan sonra, ChatGPT'den uzaktan çalıştırma açıklarını test etmek amacıyla bir OPC UA sunucusu için bir arka uç modülü geliştirmesini istedi. Görünüşe göre bu modül, temelde ikilinin bulduğu güvenlik açığı aracılığıyla savunmasız istemciye saldırmak için kötü amaçlı bir sunucu oluşturmak için gerekliydi.

Moshe ve Katz, "Sömürü tekniğimizin çalışması için birçok değişiklik yapmamız gerektiğinden, mevcut açık kaynaklı OPC UA projelerinde birçok değişiklik yapmak zorunda kaldık" dedi. Kayıt.

"Belirli bir sunucu SDK uygulamasına aşina olmadığımız için, mevcut sunucuyu kullanmamıza ve değiştirmemize yardımcı olarak süreci hızlandırmak için ChatGPT'yi kullandık."

Ekip, AI'ya talimatlar verdi ve uygulanabilir bir arka uç sunucu modülü bulana kadar birkaç tur düzeltme ve "küçük" değişiklik yapmak zorunda kaldığını kabul ettiler.

Ancak bize genel olarak, chatbot'un, özellikle bir arka uç modülünün nasıl yazılacağını öğrenmek ve insanların istismarı uygulamaya daha fazla odaklanmasını sağlamak gibi bilgi boşluklarını doldurma açısından onlara zaman kazandıran yararlı bir araç sağladığı söylendi.

"ChatGPT, kodlama sürecini hızlandırmak için harika bir araç olma kapasitesine sahip" diyen ikili, verimliliklerini artırdığını da sözlerine ekledi.  

Moshe ve Katz, "Belirli bir kod şablonu için birçok tur Google araması yapmak, ardından yalnızca ona ulaşmak istediğimiz şeyi söyleyerek, özel ihtiyaçlarımıza göre koda birden fazla tur değişiklik eklemek gibi bir şey," dedi.

Childs'a göre, siber suçluların endüstriyel sistemlere yönelik gerçek hayattaki saldırılarda ChatGPT'yi muhtemelen bu şekilde kullandığını göreceğiz. 

"Karmaşık sistemlerden yararlanmak zordur ve genellikle tehdit aktörleri belirli bir hedefin her yönüne aşina değildir" dedi. Childs, yapay zeka tarafından üretilen araçların istismarlar yazdığını görmeyi beklemediğini, ancak "başarı için gereken yapbozun son parçasını sağladığını" ekledi.

Ve yapay zekanın Pwn2Own'u devralmasından endişe duymuyor. En azından henüz değil.

Childs, "Bu hâlâ çok uzak," dedi. "Ancak, ChatGPT'nin burada kullanılması, araştırmacının doğru soruları nasıl soracağını bilmesi ve yanlış cevapları görmezden gelmesi koşuluyla, AI'nın bir güvenlik açığını bir açıktan yararlanmaya dönüştürmeye nasıl yardımcı olabileceğini gösteriyor. Bu, yarışma tarihinde ilginç bir gelişme ve bunun nereye varacağını görmek için sabırsızlanıyoruz." ®

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/