AI और Exploit डेवलपमेंट का भविष्य: ऑटोमेशन हमारी भूमिका को कैसे बदलेगा [YouTube]

• अमेरिकी Defense Advanced Research Projects Agency (DARPA) में AI और साइबर सुरक्षा तकनीक सलाहकार Perri Adams का OffensiveCon कॉन्फ़्रेंस कीनोट
• AI का उपयोग exploit development और vulnerability automation के क्षेत्र में धीरे-धीरे बढ़ रहा है
• वास्तविक OpenSSH pre-auth double free vulnerability केस का विश्लेषण करते हुए यह देखा गया है कि AI को exploit development में कैसे इस्तेमाल किया जा सकता है
• Large Language Model (LLM) आधारित AI कुछ subtask (जैसे heap grooming को समझना) में मदद करता है, लेकिन पूरे exploit को अपने आप बनाने में अभी कमजोर है
• Expert system (जैसे symbolic engine) और AI का संयोजन वास्तविक प्रगति ला रहा है
• AI निकट भविष्य में इंसानों की जगह नहीं लेगा, लेकिन सहायक टूल के रूप में इसकी भूमिका बढ़ने और कुछ हिस्सों के automation में योगदान की उम्मीद है

परिचय

• OffensiveCon कॉन्फ़्रेंस का कीनोट व्याख्यान: AI और exploit development का भविष्य
  • वक्ता Ms. Perri Adams, DARPA निदेशक की विशेष सहायक और AI व साइबर सुरक्षा तकनीकी सलाहकार हैं
  • DEF CON CTF संचालन टीम की पूर्व सदस्य और hacking competition प्रतिभागी
• सुरक्षा क्षेत्र में 'automation' और 'AI के उपयोग' पर बहुत सक्रिय चर्चा चल रही है, उसका संदर्भ समझाया गया
• DARPA, विभिन्न उद्योग अनुभव, और CTF (name: Capture the Flag) में भागीदारी के आधार पर चर्चा आगे बढ़ती है

वास्तविक केस: OpenSSH double free (pre-auth) vulnerability और AI

• फ़रवरी 2023 में, Qualys ने OpenSSH के pre-auth environment में double free vulnerability को OSS-SEC ML पर रिपोर्ट किया
• बताया गया कि यह एक जटिल vulnerability है जो केवल विशेष configuration और conditions में trigger होती है
• यह vulnerability जटिल C code, process separation, विभिन्न function calls और backward compatibility समस्याओं के कारण exploit करना बेहद कठिन है
• heap structure (Glibc का tcash, unsorted bin आदि), pre-auth packets (custom list manipulation), OpenSSL, function pointer आदि जैसे कई playground मौजूद होने का विश्लेषण किया गया
• वास्तव में heap को manipulate (grooming) करके use-after-free पैदा करने और सैद्धांतिक रूप से function pointer को overwrite करने की संभावना की पड़ताल की गई

AI टूल्स का वास्तविक उपयोग

• ChatGPT (3.5, 4.0), Claude जैसे LLM-आधारित AI का उपयोग करके इस vulnerability का विश्लेषण करने की कोशिश की गई
• vulnerability की मूल संरचना और heap allocation प्रक्रिया को व्यवस्थित/सारांशित करने जैसे कुछ subtask में सार्थक प्रदर्शन देखा गया
• लेकिन पूरे exploit code का automatic generation, जटिल heap manipulation, OpenSSL के internal flow की व्याख्या आदि में सीमाएँ सामने आईं
• कुछ AI ने अवास्तविक या गलत PoC (Proof of Concept) को आत्मविश्वास के साथ प्रस्तुत किया, या नैतिक कारणों से code generation से इनकार किया
• इसके विपरीत, code modification/patch suggestion, risk areas का सारांश आदि में व्यावहारिक defensive सहायता प्रभावी रही

AI और expert system (symbolic framework) का संयोजन

• केवल LLM-आधारित AI की तुलना में Lean proof engine जैसे expert systems के साथ जुड़ा ढांचा गणित ओलंपियाड जैसी समस्याओं में बेहतर परिणाम दिखाता है
• IMO जैसी अच्छी तरह formalized समस्याओं में AI-symbolic system reward और verification की भूमिका निभाकर performance बढ़ा सकता है
• exploit automation भी CodeQL, IDA, Binary Ninja जैसे analysis tools और AI के संयोजन से आगे बढ़ रहा है

exploit automation पर शोध और वास्तविकता

• DARPA Cyber Grand Challenge जैसी automatic exploit generation प्रतियोगिताओं के बाद, शोध ने कम जटिलता वाले environments में अर्थपूर्ण प्रगति हासिल की है
• प्रमुख शोध problem को छोटे हिस्सों में बाँटकर exploit templates और target-specific/vulnerability-specific automation तकनीकें प्रस्तावित करते हैं
• सामान्य-purpose automation tools की तुलना में विशिष्ट vulnerability type/target के लिए specialized sub-algorithm combinations वास्तविक परिणामों के अधिक करीब हैं
• LLM अभी भी मुख्यतः एक "उत्साही सहायक" की भूमिका में है—यह सीधे विशेषज्ञों की जगह लेने के बजाय सहायक रूप में अधिक योगदान दे रहा है

निष्कर्ष और आगे की दिशा

• यह अनुमान कि AI जल्द ही पूरे exploit development को पूरी तरह automate कर देगा, काफी हद तक बढ़ा-चढ़ाकर पेश किया गया है
• सबसे प्रभावी तरीका है प्रत्यक्ष exploit development के साथ AI को subtask (जैसे information organization, code modification, repetitive testing) में सहायक रूप से साथ इस्तेमाल करना
• Automation की प्रगति कुछ हद तक मानव रचनात्मकता के पीछे चलती है, और वास्तविक vulnerabilities की जटिलता/परिवर्तनशीलता के अनुरूप AI का पूरी तरह ढल पाना अभी भी कठिन है
• आगे चलकर मौजूदा abstraction layers/expert systems और AI के संयोजन पर आधारित semi-automation, तथा विशिष्ट vulnerability types पर केंद्रित automation, प्रमुख growth areas बन सकते हैं
• reverse engineering, application security, penetration testing क्षेत्रों में व्यावहारिक मूल्य और उपयोग के मामले तेज़ी से बढ़ने की संभावना है