Không, ChatGPT vẫn chưa giành chiến thắng trong cuộc thi sửa lỗi bảo mật…

Nó đã được ràng buộc để xảy ra sớm hay muộn. Có vẻ như đây là lần đầu tiên những người săn lỗi đã sử dụng ChatGPT trong một vụ khai thác Pwn2Own thành công, giúp các nhà nghiên cứu chiếm quyền điều khiển phần mềm được sử dụng trong các ứng dụng công nghiệp và giành được 20,000 USD.

Nói rõ hơn: AI không tìm thấy lỗ hổng cũng như không viết và chạy mã để khai thác một lỗ hổng cụ thể. Nhưng việc sử dụng thành công nó trong cuộc thi báo cáo lỗi có thể là điềm báo trước cho những vụ hack sắp tới.

Dustin Childs, người đứng đầu bộ phận nhận thức về mối đe dọa tại Sáng kiến ​​Zero Day (ZDI) của Trend Micro cho biết: “Điều này không giải thích được Rosetta Stone. Đăng ký. 

“Đó là bước đầu tiên hướng tới một điều gì đó hơn thế nữa. Chúng tôi không nghĩ AI là tương lai của hack, nhưng chắc chắn nó có thể trở thành một trợ thủ đắc lực khi một nhà nghiên cứu gặp phải một đoạn mã mà họ không quen thuộc hoặc một biện pháp phòng thủ mà họ không ngờ tới.” 

Tại cuộc thi tuần trước ở Miami, Florida, Nhóm của Clarety82 đã yêu cầu ChatGPT giúp họ phát triển một cuộc tấn công thực thi mã từ xa chống lại Softing edgeAggregator Siemens — phần mềm cung cấp kết nối tại giao diện giữa OT (công nghệ vận hành) và CNTT trong các ứng dụng công nghiệp.  

Các chi tiết kỹ thuật bị hạn chế do bản chất của Pwn2Own: mọi người tìm thấy các lỗ hổng bảo mật, trình diễn chúng trên sân khấu, tiết lộ riêng cách họ đã làm điều đó với nhà phát triển hoặc nhà cung cấp, nhận giải thưởng và tất cả chúng ta đều chờ đợi thông tin chi tiết và các bản vá lỗi được đưa ra cuối cùng khi đã sẵn sàng.

Trong thời gian chờ đợi, chúng ta có thể nói điều này: những người tham gia khai thác, các nhà nghiên cứu bảo mật Noam Moshe và Uri Katz, đã xác định một lỗ hổng trong ứng dụng khách OPC Unified Architecture (OPC UA) có lẽ nằm trong bộ phần mềm công nghiệp edgeAggregator. OPC UA là một giao thức giao tiếp giữa máy với máy được sử dụng trong tự động hóa công nghiệp.

Sau khi tìm ra lỗi, các nhà nghiên cứu đã yêu cầu ChatGPT phát triển mô-đun phụ trợ cho máy chủ OPC UA để kiểm tra khai thác thực thi từ xa của họ. Có vẻ như mô-đun này là cần thiết để xây dựng cơ bản một máy chủ độc hại nhằm tấn công máy khách dễ bị tấn công thông qua lỗ hổng mà bộ đôi này đã tìm thấy.

Moshe và Katz nói: “Bởi vì chúng tôi phải thực hiện nhiều sửa đổi để kỹ thuật khai thác của chúng tôi hoạt động, nên chúng tôi phải thực hiện nhiều thay đổi đối với các dự án OPC UA mã nguồn mở hiện có. Đăng ký.

“Vì chúng tôi không quen với việc triển khai SDK máy chủ cụ thể nên chúng tôi đã sử dụng ChatGPT để đẩy nhanh quá trình bằng cách giúp chúng tôi sử dụng và sửa đổi máy chủ hiện có.”

Họ thừa nhận rằng nhóm đã cung cấp hướng dẫn cho AI và phải thực hiện một số chỉnh sửa cũng như thay đổi “nhỏ” cho đến khi tạo ra một mô-đun máy chủ phụ trợ khả thi.

Nhưng nhìn chung, chúng tôi được biết, chatbot đã cung cấp một công cụ hữu ích giúp họ tiết kiệm thời gian, đặc biệt là về mặt lấp đầy các lỗ hổng kiến ​​thức như học cách viết mô-đun phụ trợ và cho phép con người tập trung hơn vào việc triển khai khai thác.

“ChatGPT có khả năng trở thành một công cụ tuyệt vời để tăng tốc quá trình mã hóa,” bộ đôi cho biết, đồng thời cho biết thêm rằng nó đã nâng cao hiệu quả của họ.  

Moshe và Katz nói: “Nó giống như thực hiện nhiều vòng tìm kiếm trên Google cho một mẫu mã cụ thể, sau đó thêm nhiều vòng sửa đổi cho mã dựa trên nhu cầu cụ thể của chúng tôi, chỉ bằng cách hướng dẫn nó những gì chúng tôi muốn đạt được.

Theo Childs, đây có lẽ là cách chúng ta sẽ thấy tội phạm mạng sử dụng ChatGPT trong các cuộc tấn công thực tế nhằm vào các hệ thống công nghiệp. 

Ông nói: “Việc khai thác các hệ thống phức tạp là một thách thức và thông thường, các tác nhân đe dọa không quen thuộc với mọi khía cạnh của một mục tiêu cụ thể. Childs nói thêm rằng anh ấy không mong đợi thấy các công cụ do AI tạo ra để viết các khai thác, “nhưng cung cấp mảnh ghép cuối cùng cần thiết để thành công.”

Và anh ấy không lo lắng về việc AI sẽ tiếp quản Pwn2Own. Ít nhất là chưa.

“Đó vẫn còn là một chặng đường dài,” Childs nói. “Tuy nhiên, việc sử dụng ChatGPT ở đây cho thấy AI có thể giúp biến lỗ hổng thành khai thác như thế nào – miễn là nhà nghiên cứu biết cách đặt câu hỏi đúng và bỏ qua câu trả lời sai. Đó là một sự phát triển thú vị trong lịch sử của cuộc thi và chúng tôi mong muốn được xem nó có thể dẫn đến đâu.” ®

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://go.theregister.com/feed/www.theregister.com/2023/02/22/chatgpt_pwn2own_ai/