Интересно PentestGPT: студент автоматизировал процесс взлома с помощью ChatGPT

Sepultura_North

Support Gourmet inc
Seller
Ровный
Мес†ный
Регистрация
17 Окт 2015
Сообщения
11.619
Репутация
4.232
Реакции
15.383

BMWRC-news.gif

PentestGPT: студент автоматизировал процесс взлома с помощью ChatGPT

17 января, 2024

Новый ИИ-инструмент обещает стать умным помощником пентестера.
image

Пользователь под ником GreyDGL, аспирант Наньянгского технологического университета в Сингапуре, опубликовал на GitHub инструмент PentestGPT для автоматизации тестов на проникновение, работающий на базе ChatGPT - это чат-бот, который работает на модели искусственного интеллекта GPT (Generative Pre-trained Transformer), разработанной компанией OpenAI. Модель обучена на большом объёме текстовых данных и предназначена для генерации человекоподобных ответов на заданные вопросы или фразы.

ChatGPT всегда старается понять контекст вопроса и сгенерировать подходящий ответ. Чат-бот способен генерировать текст в различных стилях и тематиках, может использоваться в различных сферах и областях для облегчения рутинных или даже творческих задач, выполняемых человеком.

Несмотря на всю «крутость» платформы, ChatGPT может давать неточные или неправильные ответы. Также нейросеть может проявлять предвзятость или генерировать контент, который не соответствует этическим нормам. Поэтому ChatGPT необходимо использовать с осторожностью и критически оценивать любую получаемую информацию.

PentestGPT построен на основе ChatGPT и работает в интерактивном режиме, помогая пентестерам в общих и конкретных задачах. Для использования PentestGPT требуется подписка ChatGPT Plus, так как инструмент основан на модели GPT-4 (Generative Pre-trained Transformer 4) - это чётвертая версия модели глубокого обучения, разработанная компанией OpenAI. Основное преимущество GPT-4 по сравнению с предыдущими версиями заключается в его способности к более глубокому пониманию контекста и генерации более качественных и связных ответов. GPT-4 может обрабатывать и анализировать более сложные запросы, а также продолжать начатые тексты с сохранением смысла и стиля.
GPT-4. Публичного API для GPT-4 пока нет. Для поддержки PentestGPT была добавлена оболочка для сессий ChatGPT.

Демонстрация работы PentestGPT на примере машины HTB Jarvis
PentestGPT способен проходить простые и средние машины HackTheBox, а также другие головоломки CTF. Функции PentestGPT включают:

  • Запуск новой сессии тестирования на проникновение с предоставлением информации о цели;
  • Создание списка задач и получение следующего шага для выполнения;
  • Передачу информации о завершенной операции в PentestGPT (выходные данные инструмента, содержимое веб-страницы, описание специалиста).
В PentestGPT добавлено 3 модуля:
  • Модуль генерации тестов — генерирует точные команды или операции Тест на проникновение, также называемый пентестом или этическим взломом, представляет собой метод кибербезопасности, который организации используют тестирования и выявления уязвимостей в своей системе безопасности .

    Существует три основных стратегии пентестинга, каждая из которых предлагает пентестерам определенный уровень информации, необходимый им для проведения атаки. Например, тестирование методом «белого ящика» предоставляет тестировщику все сведения о системе организации или целевой сети; тестирование методом «черного ящика» не дает тестировщику никаких знаний о системе; а в случае частичного знания системы используются методы «серого ящика».пентеста, которые могут выполнить пользователи;
  • Модуль обоснования теста – объясняет процесс теста на проникновение, подсказывая пентестеру, что делать дальше;
  • Модуль синтаксического анализа — анализирует выходные данные инструментов проникновения и содержимое веб-интерфейса.
PentestGPT представляет собой значительный прорыв в области пентестинга, объединяя возможности искусственного интеллекта, представленные моделью GPT-4, с практическими потребностями специалистов по кибербезопасности. Инструмент не только упрощает и автоматизирует процесс тестирования на проникновение, но и предоставляет более эффективный и интерактивный способ для пентестеров управлять своими операциями, от начального этапа тестирования до детального анализа результатов.
 
Назад
Сверху Снизу