Рано чи пізно це мало статися. Здається, вперше в історії мисливці за помилками використали ChatGPT в успішному експлойті Pwn2Own, допомогли дослідникам викрасти програмне забезпечення, що використовується в промислових програмах, і виграти 20,000 XNUMX доларів США.
Щоб було зрозуміло: штучний інтелект не знайшов уразливості, не написав і не запустив код для використання конкретної вади. Але його успішне використання в конкурсі повідомлень про помилки може бути передвісником майбутніх хакерів.
«Це не інтерпретація Розеттського каменю», — сказав Дастін Чайлдс, керівник відділу поінформованості про загрози Zero Day Initiative (ZDI) Trend Micro. Реєстр.
«Це перший крок до чогось більшого. Ми не вважаємо, що штучний інтелект – це майбутнє хакерства, але він, безсумнівно, може стати чудовим помічником, коли дослідник стикається з фрагментом коду, з яким вони не знайомі, або захистом, якого вони не очікують».
На змаганнях минулого тижня в Маямі, Флорида, Команда Claroty82 попросили ChatGPT допомогти їм розробити атаку віддаленого виконання коду проти Softing edgeAggregator Siemens — програмного забезпечення, яке забезпечує зв’язок на інтерфейсі між OT (операційною технологією) та ІТ у промислових додатках.
Технічні деталі обмежені через природу Pwn2Own: люди знаходять діри в безпеці, демонструють їх на сцені, приватно розкривають, як вони це зробили розробнику чи постачальнику, вимагають приз, і ми всі чекаємо, поки з’являться деталі та виправлення. зрештою, коли буде готовий.
Тим часом ми можемо сказати наступне: люди, залучені до експлойту, дослідники безпеки Ноам Моше та Урі Кац, виявили вразливість у клієнті OPC Unified Architecture (OPC UA), імовірно, у пакеті промислового програмного забезпечення edgeAggregator. OPC UA — це міжмашинний протокол зв’язку, який використовується в промисловій автоматизації.
Після виявлення помилки дослідники попросили ChatGPT розробити серверний модуль для сервера OPC UA, щоб перевірити експлойт для віддаленого виконання. Здавалося б, цей модуль був потрібен для створення шкідливого сервера для атаки на вразливого клієнта через уразливість, знайдену дуетом.
«Оскільки нам довелося внести багато модифікацій, щоб наша техніка експлуатації працювала, нам довелося внести багато змін в існуючі проекти OPC UA з відкритим кодом», — сказали Моше та Кац Реєстр.
«Оскільки ми не були знайомі з конкретною реалізацією серверного SDK, ми використали ChatGPT, щоб пришвидшити процес, допомагаючи нам використовувати та змінювати існуючий сервер».
Команда надала штучному інтелекту інструкції, і їй довелося внести кілька раундів виправлень і «незначних» змін, поки вона не придумала працездатний серверний модуль, вони визнали.
Але загалом, як нам сказали, чат-бот надав корисний інструмент, який заощадив їм час, особливо з точки зору заповнення прогалин у знаннях, наприклад, навчання написанню серверного модуля та дозволу людям більше зосередитися на реалізації експлойту.
«ChatGPT може стати чудовим інструментом для прискорення процесу кодування», — сказав дует, додавши, що це підвищило їх ефективність.
«Це схоже на виконання багатьох раундів пошуку в Google для певного шаблону коду, а потім додавання кількох раундів модифікацій коду на основі наших конкретних потреб, виключно шляхом вказівки, чого ми хочемо досягти», — сказали Моше та Кац.
За словами Чайлдса, це, ймовірно, те, як ми побачимо, як кіберзлочинці використовують ChatGPT у реальних атаках на промислові системи.
«Використання складних систем є складним завданням, і часто суб’єкти загрози не знайомі з усіма аспектами конкретної цілі», — сказав він. Чайлдс додав, що він не очікує, що інструменти, створені штучним інтелектом, створюватимуть експлойти, «але забезпечать останню частину головоломки, необхідної для успіху».
І він не стурбований тим, що ШІ захопить Pwn2Own. Принаймні поки що.
«Це ще досить далеко», — сказав Чайлдс. «Однак використання ChatGPT тут показує, як ШІ може допомогти перетворити вразливість на експлойт — за умови, що дослідник знає, як задавати правильні запитання та ігнорувати неправильні відповіді. Це цікава подія в історії конкурсу, і ми з нетерпінням чекаємо, куди це може привести». ®
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/
- 000
- 7
- a
- МЕНЮ
- прискорення
- Achieve
- актори
- доданий
- зізнався
- проти
- AI
- ВСІ
- Дозволити
- та
- Відповіді
- застосування
- архітектура
- зовнішній вигляд
- Помічник
- атака
- нападки
- Автоматизація
- обізнаність
- Backend
- заснований
- В основному
- оскільки
- між
- Підвищений
- Кордон
- Помилка
- будувати
- потужність
- звичайно
- складні
- Зміни
- Chatbot
- ChatGPT
- стверджувати
- ясно
- клієнт
- код
- Кодування
- Приходити
- Комунікація
- конкурс
- комплекс
- стурбований
- зв'язок
- Виправлення
- може
- кіберзлочинці
- день
- оборони
- демонструвати
- деталі
- розвивати
- Розробник
- розробка
- DID
- Розкрити
- справи
- ефективність
- особливо
- врешті-решт
- НІКОЛИ
- Кожен
- виконання
- існуючий
- очікувати
- очікував
- Експлуатувати
- експлуатація
- подвигів
- знайомий
- кілька
- знайти
- виявлення
- Перший
- перший раз
- недолік
- Флорида
- Сфокусувати
- Вперед
- знайдений
- майбутнє
- великий
- злом
- хакі
- траплятися
- голова
- допомога
- допомогу
- тут
- викрадати
- історія
- Отвори
- Як
- How To
- Однак
- HTTPS
- Людей
- ідентифікований
- реалізація
- реалізації
- in
- промислові
- Ініціатива
- інструкції
- цікавий
- інтерфейс
- залучений
- IT
- знання
- останній
- вести
- вивчення
- обмеженою
- подивитися
- ВИГЛЯДИ
- серія
- зробити
- багато
- тим часом
- Майамі
- незначний
- Поправки
- змінювати
- Модулі
- більше
- множинний
- природа
- потреби
- відкрити
- з відкритим вихідним кодом
- оперативний
- загальний
- приватність
- Патчі
- Люди
- частина
- plato
- Інформація про дані Платона
- PlatoData
- приз
- ймовірно
- процес
- проектів
- протокол
- за умови
- забезпечує
- забезпечення
- головоломка
- Pwn2Own
- питань
- RE
- готовий
- віддалений
- дослідник
- Дослідники
- турів
- прогін
- Зазначений
- Sdk
- безпеку
- бачачи
- Шоу
- Сіменс
- з
- Софтвер
- що в сім'ї щось
- Source
- конкретний
- Стажування
- Крок
- Як і раніше
- КАМІНЬ
- успіх
- успішний
- такі
- набір
- Systems
- взяття
- Мета
- команда
- технічний
- Технологія
- шаблон
- terms
- тест
- Команда
- їх
- загроза
- актори загроз
- час
- до
- інструмент
- інструменти
- до
- Trend
- ПЕРЕГЛЯД
- єдиний
- us
- Використання
- використання
- продавець
- через
- вразливість
- Вразливий
- чекати
- хотів
- week
- Що
- виграти
- в
- Виграв
- Work
- б
- запис
- лист
- Неправильно
- зефірнет
- нуль
- Zero Day