Er ya da geç böyle olacağı belliydi. Hata avcıları ilk kez ChatGPT’yi başarılı bir Pwn2Own istismarında kullanarak, araştırmacıların endüstriyel uygulamalarda kullanılan yazılımları hacklemelerine ve 20.000 $ kazanmalarına yardımcı oldu.
Açık olmak gerekirse: AI güvenlik açığını bulmadı veya saldırı kodunu yazıp çalıştırmadı. Ancak böcek avlama yarışmasındaki başarılı kullanımı, gelecek saldırıların habercisi olabilir.
Trend Micro’nun Zero Day Initiative (ZDI) tehdit farkındalığı başkanı Dustin Childs, “Bu, Rosetta Stone’u yorumlamak değil,” dedi. Kayıt.
“Bu, daha fazlasına doğru atılan ilk adım. Yapay zekanın bilgisayar korsanlığının geleceği olduğunu düşünmüyoruz, ancak bir araştırmacının aşina olmadığı bir kod parçasıyla veya başka bir kodla karşılaştığında kesinlikle harika bir yardımcıya dönüşebilir.” beklemedikleri savunma.”
Geçen hafta Miami’deki etkinlikte, Claroty’nin Ekibi8 ChatGPT’den, endüstriyel uygulamalarda OT ile BT arasındaki arabirimde bağlantı sağlayan yazılım olan Softing edgeAggregator Siemens’e yönelik uzaktan kod yürütme saldırısı için bir arka uç modülü yazmasını istedi.
İstismara karışan güvenlik araştırmacıları Noam Moshe ve Uri Katz, bir OPC Unified Architecture (OPC UA) istemcisindeki güvenlik açığını belirledi. OPC UA, endüstriyel otomasyonda kullanılan bir makineden makineye iletişim protokolüdür.
Araştırmacılar, hatayı bulduktan ve açıktan yararlanmayı test etmek için bir OPC UA sunucu oluşturduktan sonra, ChatGPT’den açıktan yararlanmanın bir parçası olarak kullandıkları kısa bir kod snippet’i geliştirmesini istedi.
Moshe ve Katz, “Sömürü tekniğimizin çalışması için birçok değişiklik yapmamız gerektiğinden, mevcut açık kaynaklı OPC UA projelerinde birçok değişiklik yapmak zorunda kaldık.” Kayıt. “Belirli bir sunucu SDK uygulamasına aşina olmadığımız için, mevcut sunucuyu kullanmamıza ve değiştirmemize yardımcı olarak süreci hızlandırmak için ChatGPT’yi kullandık.”
Ekip yapay zekaya talimatlar verdi ve birkaç tur düzeltme yapmak zorunda kaldıklarını kabul ettiler. Ayrıca güvenlik açığından yararlanmak için yükte “küçük ayarlamalar” yaptılar.
Ancak genel olarak, sohbet robotu, özellikle arka uç modülünü öğrenmek gibi bilgi boşluklarını doldurma ve insanların istismarı uygulamaya daha fazla odaklanmasına izin verme açısından onlara zaman kazandıran yararlı bir araç sağladı.
“ChatGPT, kodlama sürecini hızlandırmak için harika bir araç olma kapasitesine sahip” diyen ikili, verimliliklerini artırdığını da sözlerine ekledi.
Moshe ve Katz, “Belirli bir kod şablonu için birçok tur Google araması yapmak, ardından özel ihtiyaçlarımıza göre koda yalnızca elde etmek istediğimiz şeyi söyleyerek birden fazla tur değişiklik eklemek gibi bir şey,” dedi.
Childs’a göre, siber suçluların endüstriyel sistemlere yönelik gerçek hayattaki saldırılarda ChatGPT’yi muhtemelen bu şekilde kullandığını göreceğiz.
“Karmaşık sistemlerden yararlanmak zordur ve genellikle tehdit aktörleri belirli bir hedefin her yönüne aşina değildir” dedi. Childs, yapay zeka tarafından üretilen araçların istismarlar yazdığını görmeyi beklemediğini, ancak “başarı için gereken yapbozun son parçasını sağladığını” ekledi.
Ve yapay zekanın Pwn2Own’u devralmasından endişe duymuyor. En azından henüz değil.
Childs, “Bu hala oldukça uzak,” dedi. “Ancak, ChatGPT’nin burada kullanılması, araştırmacının doğru soruları nasıl soracağını bilmesi ve yanlış cevapları görmezden gelmesi koşuluyla yapay zekanın bir güvenlik açığını açıktan yararlanmaya dönüştürmeye nasıl yardımcı olabileceğini gösteriyor. Bu, yarışma tarihinde ilginç bir gelişme ve dört gözle bekliyoruz.” nereye götürebileceğini görmek için.” ®