Новини науки

Вперше в історії на конкурсі зі злому програмного забезпечення Pwn2Own хакери використали ChatGPT і виграли $ 20 000.

Минулого тижня у Маямі, Флорида, команда Claroty Team82 за допомогою ChatGPT провела атаку з віддаленим виконанням коду проти Softing edgeAggregator Siemens — ПЗ, що забезпечує зв’язок на інтерфейсі між ОТ (операційними технологіями) та ІТ (інформ. технологіями) у промислових додатках.

Дослідники безпеки виявили вразливість системи OPC UA у пакеті промислового ПЗ «edgeAggregator». OPC UA — це протокол зв’язку між машинами, який використовують у промисловій автоматизації.

Виявивши помилку, хакери попросили ChatGPT розробити внутрішній модуль для сервера OPC UA, щоб протестувати експлойт. ChatGPT запропонував корисний інструмент, який заощадив час програмістам і надав можливість більше зосередитися на реалізації експлойта.

 «Це схоже на багаторазовий пошук у Google певного шаблону коду, а потім додавання кількох ітерацій модифікації коду залежно від наших конкретних потреб», — зазначили програмісти.

Фахівці підкреслили, що саме так кіберзлочинці використовуватимуть ChatGPT у реальних атаках на промислові системи. Хакери наголосили, що ШІ може не вміти писати експлойти, але він зможе надати «останній фрагмент головоломки, необхідний для успіху». Використання ChatGPT в атаці, яка була завданням конкурсу, показує, як ШІ може допомогти перетворити вразливість на експлойт — за умови, якщо ШІ поставити правильні запитання та ігнорувати неправильні відповіді.

Нагадаємо — торік ChatGPT в експериментальних дослідженнях доводив, що знаходить вразливості коду криптовалютних платформ. Вже тоді користувачі небезпідставно припускали, що бот потенційно може бути використаний як з добрими намірами, так і з шахрайськими.