O futuro da IA e do desenvolvimento de exploits: como a automação vai mudar nosso papel [YouTube]

• Palestra principal da OffensiveCon por Perri Adams, consultora de IA e tecnologias de cibersegurança da DARPA (Agência de Projetos de Pesquisa Avançada de Defesa dos EUA)
• A IA está sendo aplicada cada vez mais ao desenvolvimento de exploits e à automação de vulnerabilidades
• Analisa um caso real de vulnerabilidade double free pre-auth no OpenSSH e explora como a IA pode ser usada no desenvolvimento de exploits
• A IA baseada em modelos de linguagem de grande porte (LLM) ajuda em alguns subtarefas (por exemplo, entender heap grooming), mas ainda é insuficiente para gerar automaticamente um exploit completo
• A combinação de sistemas especialistas (por exemplo, motores simbólicos) com IA está trazendo avanços concretos
• A IA não deve substituir humanos no curto prazo, mas espera-se a expansão do seu papel como ferramenta de apoio e sua contribuição para automatizar partes específicas

Introdução

• Palestra de abertura da conferência OffensiveCon: o futuro da IA e do desenvolvimento de exploits
  • A palestrante, Ms. Perri Adams, é assessora especial do diretor da DARPA e consultora de tecnologias de IA e cibersegurança
  • Ex-integrante da organização do DEF CON CTF e participante de competições de hacking
• Explica o contexto em que as discussões sobre “automação” e “uso de IA” estão muito ativas na área de segurança
• A apresentação se baseia em experiências na DARPA, em diferentes setores da indústria e em participações em CTF (Capture the Flag)

Caso real: vulnerabilidade double free pre-auth no OpenSSH e IA

• Em fevereiro de 2023, a Qualys reportou à OSS-SEC ML uma vulnerabilidade double free no ambiente pre-auth do OpenSSH
• Explica que se trata de uma vulnerabilidade complexa, acionada apenas sob certas configurações e condições
• O exploit é extremamente difícil devido à combinação de código C complexo, separação de processos, várias chamadas de função e questões de backward compatibility
• Analisa a existência de vários campos de exploração, como a estrutura de heap (Glibc tcash, unsorted bin etc.), pacotes pré-autenticação (manipulação de listas customizadas), OpenSSL e ponteiros de função
• Na prática, explora teoricamente a possibilidade de manipular o heap (grooming) para provocar um use-after-free e sobrescrever ponteiros de função

Aplicação prática de ferramentas de IA

• Tentativas de analisar a vulnerabilidade com IAs da família LLM, como ChatGPT (3.5, 4.0) e Claude
• Mostram desempenho útil em alguns subtarefas, como organizar e resumir a estrutura fundamental da vulnerabilidade e o processo de alocação no heap
• Porém, foram confirmadas limitações na geração automática do código completo de exploit, em manipulações complexas de heap e na interpretação do fluxo interno do OpenSSL
• Algumas IAs apresentaram PoCs (Proof of Concept) irreais ou imprecisas com confiança, ou recusaram gerar código por razões éticas
• Em contrapartida, tiveram utilidade prática como apoio defensivo em sugestões de correções/patches de código e resumos de áreas de risco

Combinação de IA com sistemas especialistas (frameworks simbólicos)

• Estruturas que combinam sistemas especialistas como o Lean proof engine com IA mostram resultados melhores do que uma IA baseada apenas em um único LLM, inclusive em problemas da Olimpíada de Matemática
• Em problemas com formato bem definido, como a IMO, sistemas IA-simbólicos conseguem cumprir funções de recompensa e verificação, elevando o desempenho
• A automação de exploits também está avançando com a combinação entre IA e ferramentas de análise como CodeQL, IDA e Binary Ninja

Pesquisa em automação de exploits e a realidade

• Desde competições como o DARPA Cyber Grand Challenge, focadas em geração automática de exploits, a pesquisa avançou de forma significativa em ambientes de menor complexidade
• Os principais estudos dividem o problema em partes menores e propõem templates de exploit e técnicas de automação por alvo ou por tipo de vulnerabilidade
• Em vez de ferramentas genéricas de automação, a combinação de subalgoritmos especializados em tipos específicos de vulnerabilidade ou alvos está mais próxima de gerar resultados reais
• Os LLMs ainda desempenham fortemente o papel de um “assistente entusiasmado” — contribuindo mais como apoio do que substituindo diretamente o trabalho do especialista

Conclusão e perspectivas

• A previsão de que a IA em breve automatizará completamente todo o desenvolvimento de exploits é, em grande parte, exagerada
• A abordagem mais eficaz é combinar o desenvolvimento direto de exploits com o uso da IA como apoio em subtarefas (por exemplo, organização de informações, correção de código e testes repetitivos)
• O avanço da automação acompanha apenas parcialmente a criatividade humana, e a dificuldade de a IA se adaptar plenamente à complexidade e à variabilidade das vulnerabilidades reais continua existindo
• Daqui para frente, o principal campo de crescimento deve estar na semi-automação com combinação de camadas de abstração/sistemas especialistas com IA e na automação focada em tipos específicos de vulnerabilidade
• Em áreas como engenharia reversa, segurança de aplicações e pentesting, os casos de uso e o valor prático devem aumentar rapidamente