ChatGPT, au bonheur des pentesters ? Ses capacités en la matière ne manquent pas d’illustrations, qu’il s’agisse de générer des scripts, des listes de mots de passe à tester ou des rapports de bug bountys.
On peut aussi lui faire écrire des règles de sécurité. C’est en tout cas la voie qu’a choisie ARMO.
Cet éditeur israélien est à l’origine d’un projet récemment entré à la CNCF (Cloud Native Computing Foundation). En l’occurrence, Kubescape, plate-forme open source d’observabilité pour Kubernetes. Il en propose une version commerciale, sous la marque ARMO Platform.
Les utilisateurs d’ARMO Platform peuvent définir leurs propres contrôles de sécurité à partir du framework OPA (Open Policy Agent). Celui-ci a son langage : Rego.
Pour apporter une option « langage naturel », ARMO a récemment annoncé avoir établi une passerelle avec ChatGPT. Ou plus précisément le modèle sur lequel il s’appuie, c’est-à-dire text-davinci-003.
En plus d’écrire des règles, le système peut décrire leurs fonctions et fournir des suggestions de remédiation lorsque des contrôles échouent.
ARMO compte, toujours sur Kubernetes, étendre le concept au RBAC (contrôle d’accès à base de rôles). Pour le moment, les règles produites peuvent être exécutées en local. À terme, on pourra les sauvegarder et les exécuter au niveau de la plate-forme.
Autre plate-forme de monitoring Kubernetes, autre usage de ChatGPT / text-davinci-003 : Robusta. Prometheus transmet les alertes par webhook vers Slack, où un bouton permet d’interroger l’API OpenAI pour obtenir des suggestions d’actions.
* Un projet joue la complémentarité avec Open Policy Agent : IDQL (IDentity Query Language). Sa promesse : pouvoir configurer des politiques de contrôle d’accès entre clouds, exprimées en YAML ou JSON.
À lire en complément :
Le pentester, visage des métiers de la cyber ?
Codex, ChatGPT… OpenAI, une usine à cyberattaques ?
ChatGPT : la version payante se dessine en attendant l’API
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…