Οι ακαδημαϊκοί ερευνητές έχουν αναπτύξει ένα αυτοματοποιημένο σύστημα χρησιμοποιώντας γενετικό AI που μπορεί να κυνηγήσει, να επαληθεύσει και να δημιουργήσει διορθώσεις για μια κρίσιμη ευπάθεια λογισμικού που έχει εξαπλωθεί σιωπηλά σε έργα ανοιχτού κώδικα για 15 χρόνια. Ο αγωγός που τροφοδοτείται με AI έχει ήδη εντοπίσει 1.756 ευάλωτα έργα Node.js στο GitHub και έχει οδηγήσει επιτυχώς στην 63 από αυτές τις επιδιορθωμένες, αποδεικνύοντας τη βιωσιμότητα μιας προσέγγισης από άκρο σε άκρο για την αυτοματοποιημένη αποκατάσταση ασφαλείας. Το σύστημα όχι μόνο βρίσκει το ελάττωμα, αλλά χρησιμοποιεί επίσης το GPT-4 της OpenAI για να γράψει και να επικυρώσει ένα έμπλαστρο, κλείνοντας αποτελεσματικά μια τρύπα ασφαλείας που επιτρέπει στους επιτιθέμενους να έχουν πρόσβαση σε περιορισμένα αρχεία διακομιστή. Ο πλήρης κύκλος ζωής της διαχείρισης ευπάθειας σε μια κλίμακα που ήταν προηγουμένως ανέφικτο. Ωστόσο, τα ευρήματά τους ήρθαν επίσης με μια έντονη προειδοποίηση: τα πολύ μοντέλα AI που αναγγέλλονται ως το μέλλον της ανάπτυξης λογισμικού είναι συχνά”δηλητηριασμένα”, έχοντας μάθει να αναπαράγει τον ίδιο ανασφαλές κώδικα που καλούνται τώρα να διορθωθούν.
Ανατομία ενός σφάλματος Forever
Η επιμονή της ευπάθειας είναι μια μελέτη περίπτωσης στη σύνθετη κοινωνική δυναμική του λογισμικού ανοιχτού κώδικα. Οι ερευνητές εντοπίστηκαν ο λανθασμένος κώδικας node.js σε ένα απόσπασμα που μοιράστηκε για πρώτη φορά το Github Gist το 2010. Από εκεί, αντιγράφηκε και επικολλήθηκε σε φόρουμ προγραμματιστών και σε χιλιάδες έργα, καθιστώντας ένα είδος ψηφιακού φάντασμα στο μηχάνημα. Η παραπλανητική φύση του ελαττώματος συνέβαλε στην εξάπλωσή του. Επειδή τα σύγχρονα προγράμματα περιήγησης ιστού εξουδετερώνουν αυτόματα την κακόβουλη εισροή που ενεργοποιεί το σφάλμα, οι δοκιμές των προγραμματιστών απέτυχαν να αποκαλύψουν τον κίνδυνο. Αυτό δημιούργησε μια ψεύτικη αίσθηση ασφάλειας, επιτρέποντας στο ευάλωτο μοτίβο να γίνει βαθιά εδραιωμένο στο DNA των αμέτρητων εφαρμογών. Ξεκινά με τη σάρωση του GitHub για τα πρότυπα κώδικα που σχετίζονται με την ευπάθεια, χρησιμοποιεί στατική ανάλυση για να σηματοδοτήσει τους υποψηφίους υψηλής πιθανότητας και στη συνέχεια προσπαθεί ενεργά να εκμεταλλευτεί το ελάττωμα σε ένα ασφαλές περιβάλλον για την εξάλειψη ψευδών θετικών. Για επιβεβαιωμένα τρωτά σημεία, ζητά από το GPT-4 να δημιουργήσει ένα έμπλαστρο, το οποίο στη συνέχεια δοκιμάζεται για να διασφαλίσει ότι διορθώνει το πρόβλημα χωρίς να σπάσει την εφαρμογή.
Αυτό το μοντέλο από άκρο σε άκρο αντικατοπτρίζει μια ευρύτερη βιομηχανία ώθηση προς αυτοματοποιημένες λύσεις ασφαλείας. Σε μια παρόμοια φλέβα, meta ανακοίνωσε τον Απρίλιο του 2025 ένα νέο benchmark, autopatchbench, για να αξιολογήσει πώς μπορεί να filualy-security-fixes/Ενώ το δυναμικό είναι τεράστιο, η προσέγγιση έχει τους επικριτές της. Στην ανακοίνωση του Απριλίου του 2025, η Meta αποκάλυψε επίσης llamafirewall τέτοιος ανασφαλής κωδικός.
Τον Νοέμβριο του Big Sleep Ag Agal για την εύρεση ζητημάτων ασφαλείας στο λογισμικό, αποκάλυψε μια σοβαρή ευπάθεια στο SQLite, έναν κινητήρα βάσης δεδομένων ανοιχτού κώδικα που χρησιμοποιείται ευρέως σε εφαρμογές λογισμικού και ενσωματωμένα συστήματα. Ο μεγάλος ύπνος προέκυψε από το Το προηγούμενο έργο του Google δεν είναι αυτόματος, ο οποίος είναι ένας πειραματικός πράκτορας AI που σχεδιάστηκε για αυτόνομη εντοπισμός των δικτύων ασφαλείας.
Επίσης πέρυσι, η εκκίνηση Protect AI ξεκίνησε το Vulnhuntr, ένα εμπορικό εργαλείο που χρησιμοποιεί το μοντέλο Claude του Anthropic για να βρει τρωτά σημεία μηδενικής ημέρας στον κώδικα Python. Η εταιρεία είναι τώρα open-sourcing the project Για την προώθηση της κοινότητας. Πώς η ευπάθεια έχει μολύνει τα ίδια τα μοντέλα AI. Επειδή τα μεγάλα γλωσσικά μοντέλα εκπαιδεύονται σε τεράστιες διαδρομές δημόσιου κώδικα από το GitHub, έχουν μάθει το ανασφαλές πρότυπο ως τυπική πρακτική. Οι ερευνητές ανακάλυψαν ότι όταν του ζητήθηκε να δημιουργήσει έναν απλό διακομιστή αρχείων, πολλά δημοφιλή LLMS θα αναπαράγουν με σιγουριά το 15χρονο σφάλμα, ακόμη και όταν προκάλεσαν ρητά να γράψουν μια ασφαλή έκδοση. Σύμφωνα με το endor labs , ένα εκπληκτικό 62% του κώδικα AI-Generats περιέχει σφάλματα ή φλέβα ασφαλείας. Η πρόκληση δεν είναι πλέον απλώς ο καθορισμός του κώδικα κληρονομιάς, αλλά η διασφάλιση ότι τα εργαλεία που δημιουργούν μελλοντικό κώδικα δεν διαιωνίζουν τα λάθη του παρελθόντος. Το πεδίο βλέπει μια τεράστια εισροή επενδύσεων και καινοτομίας, καθώς οι εταιρείες βιάζονται για να οικοδομήσουν άμυνες με την ΑΙ.
Αυτή η τάση επιταχύνεται. Τον Μάρτιο του 2025, η εταιρεία ασφαλείας Η αυτόνομη συλλογή πληροφοριών απειλής, που δίνει προτεραιότητα στα τρωτά σημεία και τις δοκιμές ασφαλείας με βάση το ωφέλιμο φορτίο.”Το έργο των ερευνητών, αν και ακαδημαϊκό, είναι μια ισχυρή απόδειξη της ιδέας σε έναν τομέα που τώρα ορίζεται από μια διπλή πρόκληση: αξιοποιώντας το AI ως ένα ισχυρό αμυντικό όπλο, ενώ ταυτόχρονα μετριάζει τους νέους κινδύνους ασφαλείας που δημιουργεί η ίδια η ΑΙ. Το μέλλον της ασφάλειας λογισμικού θα εξαρτηθεί πιθανώς από το ποιος μπορεί πρώτα να κυριαρχήσει αυτή η περίπλοκη πράξη εξισορρόπησης.
