كيف استخدم أحد الباحثين ChatGPT لخداع أحد المتطفلين
انضم إلى كبار المديرين التنفيذيين في سان فرانسيسكو يومي 11 و 12 يوليو ، لمعرفة كيف يدمج القادة استثمارات الذكاء الاصطناعي ويحسنونها لتحقيق النجاح.. يتعلم أكثر
أدى إصدار GPT-4 مرة أخرى في مارس إلى تغيير أمان المؤسسة إلى الأبد. في حين أن المتسللين لديهم القدرة على كسر حماية هذه الأدوات وإنشاء تعليمات برمجية ضارة ، بدأت فرق الأمن والموردون أيضًا في تجربة قدرات الكشف عن الذكاء الاصطناعي التوليدية. ومع ذلك ، طور باحث أمني بهدوء حالة استخدام جديدة ومبتكرة لـ ChatGPT: الخداع.
في الثاني والعشرين من أبريل ، أصدر Xavier Bellekens ، الرئيس التنفيذي لمزود الخداع كخدمة Lupovis ، منشور مدونة يوضح كيف استخدم ChatGPT لإنشاء موضع طابعة في الطابعة لخداع أحد المتسللين لمحاولة اختراق نظام غير موجود ، وأظهر يجب أن يلعب الذكاء الاصطناعي دورًا في خداع الأمن السيبراني.
لقد بدأت في القيام بإثبات سريع للمفهوم [that] استغرقني حوالي ساعتين أو ثلاث ساعات بشكل أساسي ، وكانت الفكرة هي بناء نوع من مصيدة شرك ، والخطة هي جذب الخصوم نحوك ، بدلاً من السماح لهم بالتجول في شبكتك ، “قال بيليكنز لـ VentureBeat في مقابلة حصرية.
خداع المتسللين باستخدام ChatGPT
كجزء من التمرين ، طلب Bellekens من ChatGPT إرشادات ورمزًا لإنشاء طابعة تفاعلية متوسطة ، والتي من شأنها أن تدعم جميع وظائف الطابعة ، وتستجيب لعمليات المسح الضوئي وتتعرف على أنها طابعة ، ولها صفحة تسجيل دخول حيث يوجد اسم المستخدم. ” admin “وكلمة المرور” password.
حدث
تحويل 2023
انضم إلينا في سان فرانسيسكو يومي 11 و 12 يوليو ، حيث سيشارك كبار المسؤولين التنفيذيين في كيفية دمج استثمارات الذكاء الاصطناعي وتحسينها لتحقيق النجاح وتجنب المزالق الشائعة.
سجل الان
في حوالي 10 دقائق ، طور طابعة أفقية ، برمز يعمل “بشكل جيد نسبيًا”. بعد ذلك ، استضافت Bellekens “الطابعة” على Vultr ، باستخدام ChatGPT لتسجيل الاتصالات الواردة وإرسالها إلى قاعدة بيانات. بدأت الطابعة التي تم إنشاؤها حديثًا في اكتساب الاهتمام على الفور تقريبًا.
في غضون دقيقتين بدأت في الحصول على اتصالات واردة وأشخاص يحاولون إجبارها. قال بيليكنز: “مرحبًا ، إنه يعمل بالفعل ، لذا ربما يجب أن أبدأ في الحصول على بعض البيانات لمعرفة من أين تأتي هذه الروبوتات”.
لتحليل الاتصالات بشكل أفضل ، قام Bellekens بربط عناوين IP المتصلة بأداة Lupovis المسماة Prowl ، والتي توفر معلومات حول الرمز البريدي للاتصال والمدينة والبلد ، وتؤكد ما إذا كانت آلة أو كيانًا بشريًا.
ومع ذلك ، لم تكن الروبوتات فقط هي التي كانت تتصل بالطابعة. في إحدى الحالات ، وجد Bellekens أن شخصًا ما قام بتسجيل الدخول إلى الطابعة ، مما يستدعي إجراء تحقيق عن كثب.
“لقد نظرت إلى تلك الفترة الزمنية بتفاصيل أكثر قليلاً ، وبالفعل قاموا بتسجيل الدخول بدون قوة غاشمة ، لذلك علمت أن أحد الماسحات الضوئية قد نجح ، وذهبوا للنقر على اثنين من الأزرار لتغيير بعض الإعدادات الموجودة هناك . كان هذا في الواقع سريعًا جدًا لرؤية أنه تم خداعهم بواسطة شرك ChatGPT ، “قال Bellekens.
لماذا هذا التمرين مهم؟
على مستوى عالٍ ، يسلط تمرين موضع الجذب هذا الضوء على الدور الذي يجب أن تلعبه أدوات الذكاء الاصطناعي التوليدية مثل ChatGPT في مجال الأمن السيبراني الخادع ، وهو نهج للعمليات الدفاعية حيث ينشئ فريق الأمان بنية تحتية خادعة لتضليل المهاجمين أثناء اكتساب رؤى حول تقنيات الاستغلال التي يقومون بها. يستخدم. استخدامها للوصول إلى البيئة.
تواصلت VentureBeat مع عدد من الباحثين الأمنيين الآخرين الذين كانوا متحمسين لنتائج الاختبار.
قال مايكل-أنجيلو زومو ، كبير محللي الاستخبارات في مزود معلومات التهديدات Cybersixgill ، “ربما يكون هذا هو أروع مشروع رأيته حتى الآن” ، فإن إنشاء موقع جذب لاكتشاف الجهات الفاعلة في التهديد من خلال ChatGPT يفتح عالماً من الفرص. تضمنت هذه التجربة طابعة فقط ، والتي نجحت في اجتذاب شخص واحد على الأقل لديه فضول كافٍ لتسجيل الدخول والضغط على الأزرار “.
وبالمثل ، قال Henrique Teixeira ، كبير محللي Gartner ، إن هذا “التمرين هو مثال على LLM [large language model] المساعدة في زيادة قدرة الإنسان على تنفيذ المهام الصعبة. في هذه الحالة ، كانت المهمة المطروحة هي برمجة بايثون “. على نطاق أوسع ، “يعد هذا التمرين مثالًا مهمًا يمكّن المطورين المواطنين من أن يكونوا أكثر إنتاجية.”
استكشاف الأمن السيبراني الخداع
في حين أنه من السابق لأوانه القول بأن ChatGPT ستحدث ثورة في الأمن السيبراني الخادع ، إلا أن هذا الطيار يشير إلى أن الذكاء الاصطناعي التوليدي لديه القدرة على تبسيط إنشاء الشراك الخداعية في سوق تكنولوجيا الخداع. سوق تقدر قيمته ResearchAndMarkets بـ 1.9 مليار دولار اعتبارًا من عام 2020 ، ويقدر أن تصل إلى 4.2 مليار دولار بحلول عام 2026.
ولكن ما هو خداع الأمن السيبراني بالضبط؟ الخداع هو أسلوب شائع جدًا للكشف عن التهديدات في مجال الأمن السيبراني يقوم بخداع المهاجمين باستخدام أصول مزيفة (أو مواقع جذب). قال تيكسيرا: “عادةً ما يمكن استخدام الخرائط الآلية لجمع المعلومات باستخدام أطر عمل أمنية مثل MITER ATT & CK ، على سبيل المثال”.
يعد استخدام الذكاء الاصطناعي التوليدي لإنشاء طابعة افتراضية واحدة أمرًا واحدًا ، ولكن إذا كان من الممكن توسيع حالة الاستخدام هذه لإنشاء شبكة تمت محاكاتها بالكامل ، فسيصبح من الأسهل بكثير على فريق الأمان تقوية دفاعاتهم ضد الجهات المهددة من خلال حجب نقاط الدخول المحتملة .
من المهم ملاحظة أن التطوير العام للذكاء الاصطناعي يغير وجه الأمن السيبراني الخادع ، مما يؤدي إلى ما يسميه تقرير Gartner (يتطلب الاشتراك) استراتيجية الدفاع الآلي للهدف المتحرك (AMTD) ، حيث تستخدم المؤسسة الأتمتة لنقل أو تغيير الهجوم السطحي في الوقت الحقيقي.
بشكل أساسي ، تحدد المؤسسة الأصل المستهدف وتضع فاصل زمني لأتمتة الحركة أو إعادة التكوين أو التحويل أو التشفير لخداع المهاجمين. يمكن أن تكون إضافة الذكاء الاصطناعي التوليدي كجزء من هذه الإستراتيجية لتوليد الشراك الخداعية على نطاق واسع مضاعفًا قويًا للقوة.
توقعت جارتنر أن AMTD وحدها من المرجح أن تخفف من معظم عمليات الاستغلال في يوم الصفر في غضون عقد من الزمن ، وقالت إنه بحلول عام 2025 ، ستستفيد 25٪ من التطبيقات السحابية من ميزات ومفاهيم AMTD كجزء من مناهج الوقاية المضمنة.
مع استمرار تطور الحلول والأدوات التي تعتمد على الذكاء الاصطناعي مثل ChatGPT ، ستتاح للمنظمات فرصة ثمينة لتجربة الأمن السيبراني الخادع والمضي في الهجوم ضد الجهات الفاعلة في التهديد.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
اكتشاف المزيد من إشراق التقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.