- Регистрация
- 17 Окт 2015
- Сообщения
- 11.051
- Репутация
- 4.050
- Реакции
- 14.608
PentestGPT: студент автоматизировал процесс взлома с помощью ChatGPT
17 января, 2024Новый ИИ-инструмент обещает стать умным помощником пентестера.
Пользователь под ником GreyDGL, аспирант Наньянгского технологического университета в Сингапуре, опубликовал на GitHub инструмент PentestGPT для автоматизации тестов на проникновение, работающий на базе ChatGPT - это чат-бот, который работает на модели искусственного интеллекта GPT (Generative Pre-trained Transformer), разработанной компанией OpenAI. Модель обучена на большом объёме текстовых данных и предназначена для генерации человекоподобных ответов на заданные вопросы или фразы.
ChatGPT всегда старается понять контекст вопроса и сгенерировать подходящий ответ. Чат-бот способен генерировать текст в различных стилях и тематиках, может использоваться в различных сферах и областях для облегчения рутинных или даже творческих задач, выполняемых человеком.
Несмотря на всю «крутость» платформы, ChatGPT может давать неточные или неправильные ответы. Также нейросеть может проявлять предвзятость или генерировать контент, который не соответствует этическим нормам. Поэтому ChatGPT необходимо использовать с осторожностью и критически оценивать любую получаемую информацию.
PentestGPT построен на основе ChatGPT и работает в интерактивном режиме, помогая пентестерам в общих и конкретных задачах. Для использования PentestGPT требуется подписка ChatGPT Plus, так как инструмент основан на модели GPT-4 (Generative Pre-trained Transformer 4) - это чётвертая версия модели глубокого обучения, разработанная компанией OpenAI. Основное преимущество GPT-4 по сравнению с предыдущими версиями заключается в его способности к более глубокому пониманию контекста и генерации более качественных и связных ответов. GPT-4 может обрабатывать и анализировать более сложные запросы, а также продолжать начатые тексты с сохранением смысла и стиля.
GPT-4. Публичного API для GPT-4 пока нет. Для поддержки PentestGPT была добавлена оболочка для сессий ChatGPT.
Демонстрация работы PentestGPT на примере машины HTB Jarvis
PentestGPT способен проходить простые и средние машины HackTheBox, а также другие головоломки CTF. Функции PentestGPT включают:
- Запуск новой сессии тестирования на проникновение с предоставлением информации о цели;
- Создание списка задач и получение следующего шага для выполнения;
- Передачу информации о завершенной операции в PentestGPT (выходные данные инструмента, содержимое веб-страницы, описание специалиста).
- Модуль генерации тестов — генерирует точные команды или операции Тест на проникновение, также называемый пентестом или этическим взломом, представляет собой метод кибербезопасности, который организации используют тестирования и выявления уязвимостей в своей системе безопасности .
Существует три основных стратегии пентестинга, каждая из которых предлагает пентестерам определенный уровень информации, необходимый им для проведения атаки. Например, тестирование методом «белого ящика» предоставляет тестировщику все сведения о системе организации или целевой сети; тестирование методом «черного ящика» не дает тестировщику никаких знаний о системе; а в случае частичного знания системы используются методы «серого ящика».пентеста, которые могут выполнить пользователи;
- Модуль обоснования теста – объясняет процесс теста на проникновение, подсказывая пентестеру, что делать дальше;
- Модуль синтаксического анализа — анализирует выходные данные инструментов проникновения и содержимое веб-интерфейса.