یہ جلد یا بدیر ہونے کا پابند تھا۔ جیسا کہ پہلی بار نظر آتا ہے، بگ ہنٹرز نے Pwn2Own کے کامیاب استحصال میں ChatGPT کا استعمال کیا، جس سے محققین کو صنعتی ایپلی کیشنز میں استعمال ہونے والے سافٹ ویئر کو ہائی جیک کرنے اور $20,000 جیتنے میں مدد ملی۔
واضح ہونے کے لیے: AI نے کسی خاص خامی کا فائدہ اٹھانے کے لیے کمزوری نہیں پائی اور نہ ہی کوڈ لکھنا اور چلایا۔ لیکن بگ رپورٹنگ کے مقابلے میں اس کا کامیاب استعمال آنے والے ہیکس کا مرکز ہو سکتا ہے۔
ٹرینڈ مائیکرو کے زیرو ڈے انیشی ایٹو (ZDI) میں خطرے سے آگاہی کے سربراہ ڈسٹن چائلڈز نے بتایا کہ "یہ روزیٹا پتھر کی تشریح نہیں کر رہا ہے۔" رجسٹر.
"یہ کسی اور چیز کی طرف پہلا قدم ہے۔ ہمیں نہیں لگتا کہ AI ہیکنگ کا مستقبل ہے، لیکن یہ یقینی طور پر اس کے لیے ایک بہترین معاون میں تبدیل ہو سکتا ہے جب کوئی محقق کسی ایسے کوڈ کے خلاف آتا ہے جس سے وہ واقف نہیں ہوتے یا ایسا دفاع کرتے ہیں جس کی وہ توقع نہیں کر رہے تھے۔
میامی، فلوریڈا میں گزشتہ ہفتے کے مقابلے میں، کلاروٹی کی ٹیم 82 نے ChatGPT سے کہا کہ وہ Softing edgeAggregator Siemens کے خلاف ریموٹ کوڈ پر عمل درآمد کرنے میں مدد کرے - وہ سافٹ ویئر جو صنعتی ایپلی کیشنز میں OT (آپریشنل ٹیکنالوجی) اور IT کے درمیان انٹرفیس پر رابطہ فراہم کرتا ہے۔
Pwn2Own کی نوعیت کی وجہ سے تکنیکی تفصیلات محدود ہیں: لوگ حفاظتی سوراخ تلاش کرتے ہیں، اسٹیج پر ان کا مظاہرہ کرتے ہیں، نجی طور پر انکشاف کرتے ہیں کہ انہوں نے ڈویلپر یا وینڈر کے ساتھ یہ کیسے کیا، انعام کا دعویٰ کیا، اور ہم سب تفصیلات اور پیچ کے سامنے آنے کا انتظار کرتے ہیں۔ آخر میں جب تیار ہو.
اس دوران، ہم یہ کہہ سکتے ہیں: استحصال میں ملوث انسانوں، سیکورٹی محققین نوم موشے اور یوری کاٹز نے OPC یونیفائیڈ آرکیٹیکچر (OPC UA) کلائنٹ میں ممکنہ طور پر edgeAggregator صنعتی سوفٹ ویئر سوٹ کے اندر موجود خطرے کی نشاندہی کی۔ OPC UA ایک مشین ٹو مشین مواصلاتی پروٹوکول ہے جو صنعتی آٹومیشن میں استعمال ہوتا ہے۔
بگ تلاش کرنے کے بعد، محققین نے ChatGPT سے کہا کہ وہ ایک OPC UA سرور کے لیے بیک اینڈ ماڈیول تیار کرے تاکہ ان کے ریموٹ ایگزیکیوشن ایکسپلائیٹ کو جانچ سکے۔ ایسا لگتا ہے کہ اس ماڈیول کو بنیادی طور پر ایک بدنیتی پر مبنی سرور بنانے کی ضرورت تھی تاکہ اس جوڑی کو پائے جانے والے خطرے کے ذریعے کمزور کلائنٹ پر حملہ کیا جا سکے۔
موشے اور کاٹز نے بتایا کہ "چونکہ ہمیں اپنی استحصالی تکنیک کو کام کرنے کے لیے بہت سی تبدیلیاں کرنا پڑیں، اس لیے ہمیں موجودہ اوپن سورس OPC UA پروجیکٹس میں بہت سی تبدیلیاں کرنا پڑیں،" موشے اور کاٹز نے بتایا۔ رجسٹر.
"چونکہ ہم مخصوص سرور SDK کے نفاذ سے واقف نہیں تھے، اس لیے ہم نے موجودہ سرور کو استعمال کرنے اور اس میں ترمیم کرنے میں ہماری مدد کرکے عمل کو تیز کرنے کے لیے ChatGPT کا استعمال کیا۔"
ٹیم نے AI کو ہدایات فراہم کیں، اور اس نے اعتراف کیا کہ جب تک یہ ایک قابل عمل بیک اینڈ سرور ماڈیول کے ساتھ نہیں آجاتا تب تک اسے کچھ اصلاحات اور "معمولی" تبدیلیاں کرنا پڑیں۔
لیکن مجموعی طور پر، ہمیں بتایا گیا ہے، چیٹ بوٹ نے ایک مفید ٹول فراہم کیا جس نے ان کا وقت بچایا، خاص طور پر علم کے خلا کو پُر کرنے کے معاملے میں جیسے کہ بیک اینڈ ماڈیول لکھنا سیکھنا اور انسانوں کو استحصال کو لاگو کرنے پر زیادہ توجہ مرکوز کرنے کی اجازت دینا۔
"ChatGPT میں کوڈنگ کے عمل کو تیز کرنے کے لیے ایک بہترین ٹول بننے کی صلاحیت ہے،" اس جوڑی نے مزید کہا کہ اس سے ان کی کارکردگی میں اضافہ ہوا ہے۔
موشے اور کاٹز نے کہا، "یہ ایک مخصوص کوڈ ٹیمپلیٹ کے لیے گوگل کی تلاش کے کئی چکر لگانے، پھر ہماری مخصوص ضروریات کی بنیاد پر کوڈ میں متعدد ترمیمات شامل کرنے کے مترادف ہے۔
چائلڈز کے مطابق، ہم شاید اس طرح دیکھیں گے کہ سائبر کرائمینز صنعتی نظاموں کے خلاف حقیقی زندگی کے حملوں میں چیٹ جی پی ٹی کا استعمال کرتے ہیں۔
انہوں نے کہا کہ "پیچیدہ نظاموں سے فائدہ اٹھانا ایک مشکل کام ہے، اور اکثر، دھمکی دینے والے ایک خاص ہدف کے ہر پہلو سے واقف نہیں ہوتے ہیں۔" چائلڈز نے مزید کہا کہ وہ AI سے تیار کردہ ٹولز کے کارناموں کو دیکھنے کی توقع نہیں کرتا ہے، "لیکن کامیابی کے لیے ضروری پہیلی کا آخری ٹکڑا فراہم کرتا ہے۔"
اور وہ AI Pwn2Own کو سنبھالنے کے بارے میں فکر مند نہیں ہے۔ کم از کم ابھی تک نہیں۔
"یہ ابھی بھی کافی دور ہے،" بچوں نے کہا۔ "تاہم، یہاں ChatGPT کا استعمال ظاہر کرتا ہے کہ AI کس طرح کمزوری کو ایک استحصال میں تبدیل کرنے میں مدد کر سکتا ہے - بشرطیکہ محقق یہ جانتا ہو کہ صحیح سوالات کیسے پوچھے جائیں اور غلط جوابات کو نظر انداز کیا جائے۔ یہ مقابلے کی تاریخ میں ایک دلچسپ پیشرفت ہے، اور ہم یہ دیکھنے کے منتظر ہیں کہ یہ کہاں لے جا سکتا ہے۔" ®
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/
- 000
- 7
- a
- ہمارے بارے میں
- تیز
- حاصل
- اداکار
- شامل کیا
- اعتراف کیا
- کے خلاف
- AI
- تمام
- اجازت دے رہا ہے
- اور
- جواب
- ایپلی کیشنز
- فن تعمیر
- پہلو
- اسسٹنٹ
- حملہ
- حملے
- میشن
- کے بارے میں شعور
- پسدید
- کی بنیاد پر
- بنیادی طور پر
- کیونکہ
- کے درمیان
- بڑھا
- بنقی
- بگ کی اطلاع دیں
- تعمیر
- اہلیت
- یقینی طور پر
- چیلنج
- تبدیلیاں
- چیٹ بٹ
- چیٹ جی پی ٹی
- کا دعوی
- واضح
- کلائنٹ
- کوڈ
- کوڈنگ
- کس طرح
- مواصلات
- مقابلہ
- پیچیدہ
- متعلقہ
- رابطہ
- اصلاحات
- سکتا ہے
- cybercriminals
- دن
- دفاع
- مظاہرہ
- تفصیلات
- ترقی
- ڈیولپر
- ترقی
- DID
- ظاہر
- کر
- کارکردگی
- خاص طور پر
- آخر میں
- کبھی نہیں
- ہر کوئی
- پھانسی
- موجودہ
- توقع ہے
- توقع
- دھماکہ
- استحصال
- استحصال
- واقف
- چند
- مل
- تلاش
- پہلا
- پہلی بار
- غلطی
- فلوریڈا
- توجہ مرکوز
- آگے
- ملا
- مستقبل
- گوگل
- عظیم
- ہیکنگ
- hacks
- ہو
- سر
- مدد
- مدد
- یہاں
- ہائی جیک
- تاریخ
- سوراخ
- کس طرح
- کیسے
- تاہم
- HTTPS
- انسان
- کی نشاندہی
- نفاذ
- پر عمل درآمد
- in
- صنعتی
- انیشی ایٹو
- ہدایات
- دلچسپ
- انٹرفیس
- ملوث
- IT
- علم
- آخری
- قیادت
- سیکھنے
- لمیٹڈ
- دیکھو
- دیکھنا
- بہت
- بنا
- بہت سے
- اس دوران
- میامی
- معمولی
- ترمیم
- نظر ثانی کرنے
- ماڈیول
- زیادہ
- ایک سے زیادہ
- فطرت، قدرت
- ضروریات
- کھول
- اوپن سورس
- آپریشنل
- مجموعی طور پر
- خاص طور پر
- پیچ
- لوگ
- ٹکڑا
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- انعام
- شاید
- عمل
- منصوبوں
- پروٹوکول
- فراہم
- فراہم کرتا ہے
- فراہم کرنے
- پہیلی
- Pwn2Own
- سوالات
- RE
- تیار
- ریموٹ
- محقق
- محققین
- چکر
- رن
- کہا
- sdk
- سیکورٹی
- دیکھ کر
- شوز
- siemens ڈاؤن لوڈ،
- بعد
- سافٹ ویئر کی
- کچھ
- ماخذ
- مخصوص
- اسٹیج
- مرحلہ
- ابھی تک
- پتھر
- کامیابی
- کامیاب
- اس طرح
- سویٹ
- سسٹمز
- لینے
- ہدف
- ٹیم
- ٹیکنیکل
- ٹیکنالوجی
- سانچے
- شرائط
- ٹیسٹ
- ۔
- ان
- خطرہ
- دھمکی دینے والے اداکار
- وقت
- کرنے کے لئے
- کے آلے
- اوزار
- کی طرف
- رجحان
- ٹرن
- متحد
- us
- استعمال
- استعمال کی شرائط
- وینڈر
- کی طرف سے
- خطرے کا سامنا
- قابل اطلاق
- انتظار
- چاہتے تھے
- ہفتے
- کیا
- جیت
- کے اندر
- وون
- کام
- گا
- لکھنا
- تحریری طور پر
- غلط
- زیفیرنیٹ
- صفر
- زیرو ڈے