Les chercheurs universitaires ont développé un système automatisé utilisant une IA générative qui peut traquer, vérifier et générer des correctifs pour une vulnérabilité des logiciels essentiels qui se propage silencieusement dans les projets open-source depuis 15 ans. Le pipeline propulsé par l’IA a déjà identifié 1 756 projets Node.js vulnérables sur GitHub et a conduit avec succès à 63 d’entre eux corrigées, prouvant la viabilité d’une approche de bout en bout pour une correction automatisée de sécurité.
Cette percée représente un saut significatif au-delà de la détection simple de la vulnérabilité. Le système trouve non seulement la faille mais utilise également le GPT-4 d’OpenAI pour écrire et valider un correctif, fermant efficacement un trou de sécurité qui permet aux attaquants d’accéder aborde le cycle de vie complet de la gestion de la vulnérabilité à une échelle auparavant inaccessible. Cependant, leurs résultats sont également venus avec un avertissement frappant: les modèles très IA étant annoncés car l’avenir du développement de logiciels sont souvent «empoisonnés», ayant appris à reproduire le même code sans sécurité qu’ils sont maintenant invités à corriger.
META annoncé En avril 2025, un nouveau banc de banc, AutopatchBench, pour évaluer la façon dont les modèles AI peuvent agiter automatiquement. Bien que le potentiel soit énorme, l’approche a ses critiques. Dans son annonce en avril 2025, Meta a également révélé llamafirewall , un outil a conçu spécifiquement pour l’empêcher de gardien de la garde générer un tel code non sécurisé.
En novembre, le grand agent de l’IA de sommeil de Google pour trouver des problèmes de sécurité dans les logiciels, a découvert une vulnérabilité grave dans SQLite, un moteur de base de données open source largement utilisé dans les applications logicielles et les systèmes embarqués. Big Sleep est émergé de Naptime de projet de Google , une collaboration entre le projet Zero et Deepmind, est un agent AI expérimental conçu pour identifier autonome la sécurité entre la sécurité.
L’année dernière, Startup Protect AI a lancé VulnHunttr, un outil commercial utilisant le modèle Claude d’Anthropic pour trouver des vulnérabilités zéro jour dans le code Python. La société est maintenant Open-Sourcing the Project Pour favoriser le développement communautaire.
C’est ainsi que la vulnérabilité a infecté les modèles d’IA eux-mêmes. Étant donné que les modèles de grandes langues sont formés sur de vastes mâts de code public de GitHub, ils ont appris le modèle peu sûr en tant que pratique standard. Les chercheurs ont découvert que lorsqu’on lui a demandé de créer un serveur de fichiers simple, de nombreux LLM populaires reproduiraient en toute confiance le bogue de 15 ans, même lorsqu’il était explicitement invité à écrire une version sécurisée.
Ce problème”LLM”empoisonné”est une préoccupation croissante. Selon Endor Labs , un stupéfiant 62% de code généré AI-Généré contient des bogues ou des défauts de sécurité. Le défi n’est plus seulement de fixer le code hérité, mais s’assurer que les outils de construction du code futur ne perpétuent pas les erreurs du passé.
Le projet académique est une bataille clé dans une course aux armements AI plus grande et plus importante pour la cybersécurité. Le domaine constate un afflux massif d’investissement et d’innovation alors que les entreprises se précipitent pour construire des défenses alimentées par l’IA.
Cette tendance s’accélère. En mars 2025, la société de sécurité détective annonce un système qui s’appelle”Alfred””La collecte de renseignements sur les menaces, la priorisation des vulnérabilités et la construction de tests de sécurité basés sur la charge utile.”
Cette vague d’innovation souligne un changement fondamental. Le projet des chercheurs, bien que scolaire, est une puissante preuve de concept dans un domaine désormais défini par un double défi: tirer parti de l’IA comme une arme défensive puissante tout en atténuant simultanément les nouveaux risques de sécurité que l’IA lui-même crée. L’avenir de la sécurité des logiciels dépendra probablement de qui peut d’abord maîtriser cet acte d’équilibrage complexe.
