Ні, ChatGPT ще не перемагав у конкурсі на виявлення помилок безпеки…

Рано чи пізно це мало статися. Здається, вперше в історії мисливці за помилками використали ChatGPT в успішному експлойті Pwn2Own, допомогли дослідникам викрасти програмне забезпечення, що використовується в промислових програмах, і виграти 20,000 XNUMX доларів США.

Щоб було зрозуміло: штучний інтелект не знайшов уразливості, не написав і не запустив код для використання конкретної вади. Але його успішне використання в конкурсі повідомлень про помилки може бути передвісником майбутніх хакерів.

«Це не інтерпретація Розеттського каменю», — сказав Дастін Чайлдс, керівник відділу поінформованості про загрози Zero Day Initiative (ZDI) Trend Micro. Реєстр. 

«Це перший крок до чогось більшого. Ми не вважаємо, що штучний інтелект – це майбутнє хакерства, але він, безсумнівно, може стати чудовим помічником, коли дослідник стикається з фрагментом коду, з яким вони не знайомі, або захистом, якого вони не очікують». 

На змаганнях минулого тижня в Маямі, Флорида, Команда Claroty82 попросили ChatGPT допомогти їм розробити атаку віддаленого виконання коду проти Softing edgeAggregator Siemens — програмного забезпечення, яке забезпечує зв’язок на інтерфейсі між OT (операційною технологією) та ІТ у промислових додатках.  

Технічні деталі обмежені через природу Pwn2Own: люди знаходять діри в безпеці, демонструють їх на сцені, приватно розкривають, як вони це зробили розробнику чи постачальнику, вимагають приз, і ми всі чекаємо, поки з’являться деталі та виправлення. зрештою, коли буде готовий.

Тим часом ми можемо сказати наступне: люди, залучені до експлойту, дослідники безпеки Ноам Моше та Урі Кац, виявили вразливість у клієнті OPC Unified Architecture (OPC UA), імовірно, у пакеті промислового програмного забезпечення edgeAggregator. OPC UA — це міжмашинний протокол зв’язку, який використовується в промисловій автоматизації.

Після виявлення помилки дослідники попросили ChatGPT розробити серверний модуль для сервера OPC UA, щоб перевірити експлойт для віддаленого виконання. Здавалося б, цей модуль був потрібен для створення шкідливого сервера для атаки на вразливого клієнта через уразливість, знайдену дуетом.

«Оскільки нам довелося внести багато модифікацій, щоб наша техніка експлуатації працювала, нам довелося внести багато змін в існуючі проекти OPC UA з відкритим кодом», — сказали Моше та Кац Реєстр.

«Оскільки ми не були знайомі з конкретною реалізацією серверного SDK, ми використали ChatGPT, щоб пришвидшити процес, допомагаючи нам використовувати та змінювати існуючий сервер».

Команда надала штучному інтелекту інструкції, і їй довелося внести кілька раундів виправлень і «незначних» змін, поки вона не придумала працездатний серверний модуль, вони визнали.

Але загалом, як нам сказали, чат-бот надав корисний інструмент, який заощадив їм час, особливо з точки зору заповнення прогалин у знаннях, наприклад, навчання написанню серверного модуля та дозволу людям більше зосередитися на реалізації експлойту.

«ChatGPT може стати чудовим інструментом для прискорення процесу кодування», — сказав дует, додавши, що це підвищило їх ефективність.  

«Це схоже на виконання багатьох раундів пошуку в Google для певного шаблону коду, а потім додавання кількох раундів модифікацій коду на основі наших конкретних потреб, виключно шляхом вказівки, чого ми хочемо досягти», — сказали Моше та Кац.

За словами Чайлдса, це, ймовірно, те, як ми побачимо, як кіберзлочинці використовують ChatGPT у реальних атаках на промислові системи. 

«Використання складних систем є складним завданням, і часто суб’єкти загрози не знайомі з усіма аспектами конкретної цілі», — сказав він. Чайлдс додав, що він не очікує, що інструменти, створені штучним інтелектом, створюватимуть експлойти, «але забезпечать останню частину головоломки, необхідної для успіху».

І він не стурбований тим, що ШІ захопить Pwn2Own. Принаймні поки що.

«Це ще досить далеко», — сказав Чайлдс. «Однак використання ChatGPT тут показує, як ШІ може допомогти перетворити вразливість на експлойт — за умови, що дослідник знає, як задавати правильні запитання та ігнорувати неправильні відповіді. Це цікава подія в історії конкурсу, і ми з нетерпінням чекаємо, куди це може привести». ®

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/