Ami használható jóra, az használható rossz célokra is. Ezzel a nem túl eredeti mondással lehetne összegezni a múlt héten Miamiban rendezett Pwn2Own hekkerverseny tapasztalatait. A megmérettetésen ugyanis az etikus hekkerek először vetettek be mesterséges intelligenciát, nevezetesen a ChatGPT-t. Az OpenAI algoritmusa segített a biztonsági kutatóknak ipari alkalmazásokban használt szoftvereket megtörni – és mint a The Register írja, nem mellesleg nyerni 20 ezer dollárt.

Nem az MI találta meg a sebezhetőséget, és nem is az MI írta a futtatható kódot, ami a hibát kihasználta. De mint Dustin Childs, a Trend Micro Zero Day Initiative (ZDI) egyik vezetője mondta a brit szaklapnak, ez valaminek a kezdete volt. Szerinte egyelőre annyit lehet nagy bizonyossággal jósolni, hogy az MI az etikus hekkerek számára óriási segítséget nyújthat, amikor olyan ismeretlen kóddal vagy védelemmel találkoznak, amire nem számítottak.

Hozzátehetjük: ez a másik oldalon is igaz, azaz a támadók legalább akkora segítséget kaphatnak az MI-től, amekkorát a védelem.

Távoli kódfuttatási feladatba vonták be

A versenyen a Claroty's Team82 vetette be a ChatGPT-t: távoli kódfuttatási támadást fejlesztettek a Siemens ún. Softing edgeAggregatora ellen, amely az OT-t (operation technology) és az IT-t kapcsolja össze ipari rendszerekben. Érdekes mellékszál, hogy a Claroty egyik alapítója és vezetője, Galina Antova korábban a Siemens ipari biztonsági szolgáltatásainak globális vezetőjeként dolgozott.

A sebezhetőség részleteit csak a hiba javítása után hozzák nyilvánosságra; egyelőre annyit lehet tudni, hogy az ipari rendszerek átfogó védelmével is foglalkozó Claroty csapata, Noam Moshe és Uri Katz egy OPC Unified Architecture (OPC UA) kliensben találta. (Az OPC UA egy gép-gép közötti kommunikációs protokoll, amelyet az ipari automatizálásban használnak.)

Amikor megvolt a sebezhetőség, a kutatók felkérték a ChatGPT-t, hogy fejlesszen az OPC UA szerverhez egy backend modult, hogy tesztelhessék exploitjukat. A modulra egy rosszindulatú szerver létrehozásához volt szükség, amelyről támadhatták a megtalált sebezhetőségen keresztül a megcélzott klienst.

Ahhoz, hogy a támadás működjön, sok változtatást kellett végrehajtani a versenyen használt nyílt forráskódú OPC UA projekteken, mondta a két biztonsági kutató a The Registernek. Csakhogy nem ismerték kellő mélységben az adott szerver SDK-implementációját. És itt kapott szerepet a ChatGPT: ehhez ugyanis őt hívták segítségül. Utasításokat adtak az MI-nek, amely ugyan több körben és sok emberi beavatkozással, de végül előállított egy működőképes és a célra alkalmas backend szervermodult. Így sokkal gyorsabban végeztek, mintha el kellett volna mélyedniük a modul megírásának rejtelmeiben.

A kiberbűnözők is használhatják

A kutatók szerint ChatGPT segítségét úgy kell elképzelni, mintha rengeteg Google-keresést futtattak volna le, hogy megtalálják a céljukhoz legjobban illeszkedő kódsablont, amit ugyancsak több körben utasításokkal (a kimenet meghatározásával) az adott feladathoz alakítottak.

Dustin Childs szerint a ChatGPT hamarosan a kiberbűnözők egyik fontos fegyvere lehet. Az összetett vállalati rendszerek a támadóknak is komoly kihívást jelentenek, hiszen nem ismerhetik minden aspektusát. Ebben segíthet számukra az MI. Azt nem tartja valószínűnek, hogy MI-vel írják majd az exploitokat, de ahogy a Claroty kutatóinak segített kiegészíteni hiányos tudásukat, így adhatja a támadók kezébe is "a sikerhez szükséges puzzle utolsó darabját".