ChatGPT peut-il sécuriser Kubernetes ?

ChatGPT, au bonheur des pentesters ? Ses capacités en la matière ne manquent pas d’illustrations, qu’il s’agisse de générer des scripts, des listes de mots de passe à tester ou des rapports de bug bountys.

On peut aussi lui faire écrire des règles de sécurité. C’est en tout cas la voie qu’a choisie ARMO.

Cet éditeur israélien est à l’origine d’un projet récemment entré à la CNCF (Cloud Native Computing Foundation). En l’occurrence, Kubescape, plate-forme open source d’observabilité pour Kubernetes. Il en propose une version commerciale, sous la marque ARMO Platform.

Les utilisateurs d’ARMO Platform peuvent définir leurs propres contrôles de sécurité à partir du framework OPA (Open Policy Agent). Celui-ci a son langage : Rego.

Pour apporter une option « langage naturel », ARMO a récemment annoncé avoir établi une passerelle avec ChatGPT. Ou plus précisément le modèle sur lequel il s’appuie, c’est-à-dire text-davinci-003.

En plus d’écrire des règles, le système peut décrire leurs fonctions et fournir des suggestions de remédiation lorsque des contrôles échouent.

Un canal de Prometheus à ChatGPT

ARMO compte, toujours sur Kubernetes, étendre le concept au RBAC (contrôle d’accès à base de rôles). Pour le moment, les règles produites peuvent être exécutées en local. À terme, on pourra les sauvegarder et les exécuter au  niveau de la plate-forme.

Autre plate-forme de monitoring Kubernetes, autre usage de ChatGPT / text-davinci-003 : Robusta. Prometheus transmet les alertes par webhook vers Slack, où un bouton permet d’interroger l’API OpenAI pour obtenir des suggestions d’actions.

* Un projet joue la complémentarité avec Open Policy Agent : IDQL (IDentity Query Language). Sa promesse : pouvoir configurer des politiques de contrôle d’accès entre clouds, exprimées en YAML ou JSON.

À lire en complément :

Le pentester, visage des métiers de la cyber ?
Codex, ChatGPT… OpenAI, une usine à cyberattaques ?
ChatGPT : la version payante se dessine en attendant l’API