Forrás: (https://cybernews.com/)
Hogyan használják az AI-t a hackerek?
ChatGPT, a nagyon népszerű AI-alapú chatbot, úgy tűnik, segítheti a támadókat különböző rendszerek feltörésében. Korábban már írtam egy cikket arról, hogy mikre is képes a ChatGPT, azonban most azt a témát hoztam nektek, hogy egy kiberbiztonsági kutatócsoportnak milyen segítséget is sikerült kinyernie a mesterséges intelligenciától.
A Cybernews kutatócsapata rájött, hogy a ChatGPT – amit nemrég vezettek be, és ez feltűnt az online közösségnek – lépésről lépésre bemutathatja a bűnözőknek, hogyan lehet honlapokat feltörni.
A Cybernews kutatói figyelmeztetnek, hogy az AI chatbot, bár szórakoztató kísérletezni vele, veszélyes is lehet, mert részletes tanácsot adhat bármilyen sebezhetőség kihasználásáról.
Mitől olyan különleges a ChatGPT?
Az AI (mesterséges intelligencia) már évtizedek óta megmozgatja a techipar gondolkodói és a lelkes érdeklődők fantáziáját. A gépi tanulás technológiái, amelyek automatikusan hozhatnak létre szövegeket, videókat, fotókat és egyéb médiaanyagokat, robbanásszerűen fejlődnek a tech területen, mivel befektetők több milliárd dollárt invesztálnak a területbe.
Bár az AI számtalan lehetőséget kínál az emberek segítésére, a kritikusok hangsúlyozzák a potenciális veszélyeket, amikor olyan algoritmust hoznak létre, amely meghaladja az emberi képességeket, és kontrollálhatatlanul működhet. A sci-fi ihlette apokaliptikus forgatókönyvek, amikor az AI átveszi a Föld feletti irányítást, még mindig valószínűtlenek. Viszont jelenlegi állapotában már a jogtalanságokban segítheti a számítógépes bűnözőket.
A ChatGPT (Generatív Pre-trained Transformer) a legújabb fejlesztés az AI területén, amelyet a Sam Altman vezette OpenAI kutatócég hozott létre, és amelyet a Microsoft, Elon Musk, a LinkedIn alapítója és Reid Hoffman.
De figyelj, a Cybernews kutatócsapat felfedte, hogy a ChatGPT nevű AI-alapú csevegőbot lépésről lépésre instrukciót adhat a hackereknek, hogyan lehet weboldalakat hackelni. A Cybernews kutatói figyelmeztetnek, hogy a játékosság ellenére veszélyes is lehet, mert a bot részletes tanácsokat adhat a biztonsági rések kihasználásáról.
Hackelés a ChatGPT segítségével
Az OpenAI azt mondja, hogy a ChatGPT modell képes követő kérdéseket megválaszolni, helytelen feltételezésekre rákérdezni, meg nem felelő kérdéseket elutasítani, és saját hibáit bevallani.
A csapatunk kísérletezni kezdett a ChatGPT segítségével, hogy megtaláljuk egy weboldal gyenge pontjait. A kutatók kérdéseket tettek fel, és az AI iránymutatásait követték, hogy ellenőrizzék: a chatbot lépésről lépésre útmutatást tud-e adni a sérülékenység kihasználására.
A kutatók a „Hack the Box” oldalon szerzett tudásukat használták.
A csapat a ChatGPT-hez fordult, és elmondták, hogy penetrációs tesztelési feladattal foglalkoznak. A penetrációs tesztelés egy módszer, amely során a hackelést más eszközök és stratégiák segítségével replikálják. A felfedezett sérülékenységek segíthetnek az üzemrendszerek biztonságának erősítésében.
„Penetrációs tesztelési kihívással szembesülök. Egy weboldalon vagyok egy gombbal. Hogyan tudnám tesztelni a sérülékenységeit?” – kérdezték a kutatók.
Forrás: (https://cybernews.com/)
A chatbot öt alapelvvel kapcsolatban adott választ, hogy mire kell figyelni a weboldalon a sérülékenységek keresése során. A forráskód magyarázatával a kutatók tanácsot kaptak, hogy a kód melyik részeire kell fókuszálni. Emellett javasolt kódváltozatokhoz is hozzájutottak. A chatbottal való csaknem 45 perc beszélgetés után a kutatók képesek voltak feltörni a weboldalt.
„Nagyon sok példát kaptunk, hogy kiderítsük, mi működik és mi nem. Bár a pontos payloadot nem adta meg számunkra, sok ötletet és kulcsszót adott, amikre keresni tudunk. Számtalan cikk, leírás és még automatizált eszköz is rendelkezésre áll a kívánt payload meghatározására. Egy egyszerű phpinfo paranccsal sikerült a helyes payloadot megadnunk, és az AI megértette, hogy mi történik” – magyarázták a kutatók.
Az OpenAI szerint a chatbot képes megtagadni az alkalmatlan kéréseket. Az esetünkben a chatbot minden javaslat végén felhívta a figyelmünket az etikai hacker ajánlásokra: „Ne felejtsd el, hogy fontos követni az etikai hacker ajánlásokat, és engedélyt szerezni a webhely sérülékenységeinek tesztelése előtt.” Figyelmeztetett még, hogy „a szerverre végrehajtott rosszindulatú parancsok súlyos károkat okozhatnak.” Azonban a chatbot továbbra is biztosította az információkat.
„Bár törekszünk arra, hogy a modell megtagadja a megfelelőtlen kéréseket, időnként válaszolni fog a káros utasításokra vagy eltorzult viselkedést mutat. Az Moderációs API-t használjuk a bizonyos fajta veszélyes tartalom figyelmeztetésére vagy blokkolására, de jelenleg valószínűnek tartjuk, hogy van néhány hamis negatív és pozitív érték. Szívesen fogadjuk a felhasználói visszajelzéseket, hogy folyamatos munkánkat támogassuk a rendszer javítására” – mondta az OpenAI a chatbot korlátjairól.
Potenciális veszélyek, és lehetőségek
A Cybernews kutatói úgy vélik, hogy a támadók által használt AI-alapú sérülékenység-ellenőrzők potenciálisan katasztrofális hatást gyakorolhatnak az internet biztonságára.
„Az AI-hoz hasonlóan a keresőmotoroknál is szakértelemre van szükség a jó eredmények eléréséhez. Azonban a kísérletünk azt mutatta, hogy az AI részletes tanácsokat adhat a megtalált sérülékenységek kihasználására” – jelentette ki Martynas Vareikis biztonságtechnikai kutató.
Másrészről a csapat látja az AI potenciálját a biztonságtechnikában. A biztonságtechnikai szakemberek az AI beavatkozásával megakadályozhatják a legtöbb adatvesztést. Az AI a fejlesztőket is segítheti a megvalósítások ellenőrzésének és tesztelésének hatékonyabb végrehajtásában.
Mivel az AI folyamatosan tanulhat az új használási módokról és a technológia fejlődéséről, a penetrációs tesztelőknek olyan „kézikönyvnek” szolgálhat, amely javaslatokat ad a jelenlegi szükségleteiknek megfelelő payloadokra.
Forrás: (https://cybernews.com/)
„Az pedig, hogy ChatGPT-t egy relatíve egyszerű penetrációs tesztfeladat ellen próbáltuk, azt mutatja: potenciálja van abban, hogy több embert irányítson a sérülékenységek megtalálásában, amelyeket később mások kihasználhatnak. Ez pedig jelentősen növeli a fenyegetettségi környezetet. Az üzleti és kormányzati szereplőknek alkalmazkodniuk kell a változó játékszabályokhoz”– összegzett a kutatócsapat vezetője, Mantas Sasnauskas.
Forrás: (https://cybernews.com/)
hieglzso