نہیں، ChatGPT نے سیکیورٹی بگ مقابلہ نہیں جیتا … ابھی تک

نہیں، ChatGPT نے سیکیورٹی بگ مقابلہ نہیں جیتا … ابھی تک

ٹائم سٹیمپ: فروری 22، 2023 3:30 PM
No, ChatGPT hasn't won a security bug contest … yet PlatoBlockchain Data Intelligence. Vertical Search. Ai.

یہ جلد یا بدیر ہونے کا پابند تھا۔ جیسا کہ پہلی بار نظر آتا ہے، بگ ہنٹرز نے Pwn2Own کے کامیاب استحصال میں ChatGPT کا استعمال کیا، جس سے محققین کو صنعتی ایپلی کیشنز میں استعمال ہونے والے سافٹ ویئر کو ہائی جیک کرنے اور $20,000 جیتنے میں مدد ملی۔

واضح ہونے کے لیے: AI نے کسی خاص خامی کا فائدہ اٹھانے کے لیے کمزوری نہیں پائی اور نہ ہی کوڈ لکھنا اور چلایا۔ لیکن بگ رپورٹنگ کے مقابلے میں اس کا کامیاب استعمال آنے والے ہیکس کا مرکز ہو سکتا ہے۔

ٹرینڈ مائیکرو کے زیرو ڈے انیشی ایٹو (ZDI) میں خطرے سے آگاہی کے سربراہ ڈسٹن چائلڈز نے بتایا کہ "یہ روزیٹا پتھر کی تشریح نہیں کر رہا ہے۔" رجسٹر

"یہ کسی اور چیز کی طرف پہلا قدم ہے۔ ہمیں نہیں لگتا کہ AI ہیکنگ کا مستقبل ہے، لیکن یہ یقینی طور پر اس کے لیے ایک بہترین معاون میں تبدیل ہو سکتا ہے جب کوئی محقق کسی ایسے کوڈ کے خلاف آتا ہے جس سے وہ واقف نہیں ہوتے یا ایسا دفاع کرتے ہیں جس کی وہ توقع نہیں کر رہے تھے۔ 

میامی، فلوریڈا میں گزشتہ ہفتے کے مقابلے میں، کلاروٹی کی ٹیم 82 نے ChatGPT سے کہا کہ وہ Softing edgeAggregator Siemens کے خلاف ریموٹ کوڈ پر عمل درآمد کرنے میں مدد کرے - وہ سافٹ ویئر جو صنعتی ایپلی کیشنز میں OT (آپریشنل ٹیکنالوجی) اور IT کے درمیان انٹرفیس پر رابطہ فراہم کرتا ہے۔  

Pwn2Own کی نوعیت کی وجہ سے تکنیکی تفصیلات محدود ہیں: لوگ حفاظتی سوراخ تلاش کرتے ہیں، اسٹیج پر ان کا مظاہرہ کرتے ہیں، نجی طور پر انکشاف کرتے ہیں کہ انہوں نے ڈویلپر یا وینڈر کے ساتھ یہ کیسے کیا، انعام کا دعویٰ کیا، اور ہم سب تفصیلات اور پیچ کے سامنے آنے کا انتظار کرتے ہیں۔ آخر میں جب تیار ہو.

اس دوران، ہم یہ کہہ سکتے ہیں: استحصال میں ملوث انسانوں، سیکورٹی محققین نوم موشے اور یوری کاٹز نے OPC یونیفائیڈ آرکیٹیکچر (OPC UA) کلائنٹ میں ممکنہ طور پر edgeAggregator صنعتی سوفٹ ویئر سوٹ کے اندر موجود خطرے کی نشاندہی کی۔ OPC UA ایک مشین ٹو مشین مواصلاتی پروٹوکول ہے جو صنعتی آٹومیشن میں استعمال ہوتا ہے۔

بگ تلاش کرنے کے بعد، محققین نے ChatGPT سے کہا کہ وہ ایک OPC UA سرور کے لیے بیک اینڈ ماڈیول تیار کرے تاکہ ان کے ریموٹ ایگزیکیوشن ایکسپلائیٹ کو جانچ سکے۔ ایسا لگتا ہے کہ اس ماڈیول کو بنیادی طور پر ایک بدنیتی پر مبنی سرور بنانے کی ضرورت تھی تاکہ اس جوڑی کو پائے جانے والے خطرے کے ذریعے کمزور کلائنٹ پر حملہ کیا جا سکے۔

موشے اور کاٹز نے بتایا کہ "چونکہ ہمیں اپنی استحصالی تکنیک کو کام کرنے کے لیے بہت سی تبدیلیاں کرنا پڑیں، اس لیے ہمیں موجودہ اوپن سورس OPC UA پروجیکٹس میں بہت سی تبدیلیاں کرنا پڑیں،" موشے اور کاٹز نے بتایا۔ رجسٹر.

"چونکہ ہم مخصوص سرور SDK کے نفاذ سے واقف نہیں تھے، اس لیے ہم نے موجودہ سرور کو استعمال کرنے اور اس میں ترمیم کرنے میں ہماری مدد کرکے عمل کو تیز کرنے کے لیے ChatGPT کا استعمال کیا۔"

ٹیم نے AI کو ہدایات فراہم کیں، اور اس نے اعتراف کیا کہ جب تک یہ ایک قابل عمل بیک اینڈ سرور ماڈیول کے ساتھ نہیں آجاتا تب تک اسے کچھ اصلاحات اور "معمولی" تبدیلیاں کرنا پڑیں۔

لیکن مجموعی طور پر، ہمیں بتایا گیا ہے، چیٹ بوٹ نے ایک مفید ٹول فراہم کیا جس نے ان کا وقت بچایا، خاص طور پر علم کے خلا کو پُر کرنے کے معاملے میں جیسے کہ بیک اینڈ ماڈیول لکھنا سیکھنا اور انسانوں کو استحصال کو لاگو کرنے پر زیادہ توجہ مرکوز کرنے کی اجازت دینا۔

"ChatGPT میں کوڈنگ کے عمل کو تیز کرنے کے لیے ایک بہترین ٹول بننے کی صلاحیت ہے،" اس جوڑی نے مزید کہا کہ اس سے ان کی کارکردگی میں اضافہ ہوا ہے۔  

موشے اور کاٹز نے کہا، "یہ ایک مخصوص کوڈ ٹیمپلیٹ کے لیے گوگل کی تلاش کے کئی چکر لگانے، پھر ہماری مخصوص ضروریات کی بنیاد پر کوڈ میں متعدد ترمیمات شامل کرنے کے مترادف ہے۔

چائلڈز کے مطابق، ہم شاید اس طرح دیکھیں گے کہ سائبر کرائمینز صنعتی نظاموں کے خلاف حقیقی زندگی کے حملوں میں چیٹ جی پی ٹی کا استعمال کرتے ہیں۔ 

انہوں نے کہا کہ "پیچیدہ نظاموں سے فائدہ اٹھانا ایک مشکل کام ہے، اور اکثر، دھمکی دینے والے ایک خاص ہدف کے ہر پہلو سے واقف نہیں ہوتے ہیں۔" چائلڈز نے مزید کہا کہ وہ AI سے تیار کردہ ٹولز کے کارناموں کو دیکھنے کی توقع نہیں کرتا ہے، "لیکن کامیابی کے لیے ضروری پہیلی کا آخری ٹکڑا فراہم کرتا ہے۔"

اور وہ AI Pwn2Own کو سنبھالنے کے بارے میں فکر مند نہیں ہے۔ کم از کم ابھی تک نہیں۔

"یہ ابھی بھی کافی دور ہے،" بچوں نے کہا۔ "تاہم، یہاں ChatGPT کا استعمال ظاہر کرتا ہے کہ AI کس طرح کمزوری کو ایک استحصال میں تبدیل کرنے میں مدد کر سکتا ہے - بشرطیکہ محقق یہ جانتا ہو کہ صحیح سوالات کیسے پوچھے جائیں اور غلط جوابات کو نظر انداز کیا جائے۔ یہ مقابلے کی تاریخ میں ایک دلچسپ پیشرفت ہے، اور ہم یہ دیکھنے کے منتظر ہیں کہ یہ کہاں لے جا سکتا ہے۔" ®

ٹائم اسٹیمپ:

سے زیادہ رجسٹر