Peneliti akademik telah mengembangkan sistem otomatis menggunakan AI generatif yang dapat memburu, memverifikasi, dan menghasilkan perbaikan untuk kerentanan perangkat lunak penting yang secara diam-diam tersebar di seluruh proyek open-source selama 15 tahun. Pipa bertenaga AI telah mengidentifikasi 1.756 proyek node rentan. Sistem tidak hanya menemukan cacat tetapi juga menggunakan Openai’s GPT-4 untuk menulis dan memvalidasi tambalan, secara efektif menutup lubang keamanan yang memungkinkan penyerang untuk mengakses file server terbatas.
Dalam a
anatomi bug selamanya
Kegigihan kerentanan adalah studi kasus dalam dinamika sosial kompleks perangkat lunak open-source. Para peneliti melacak kode Node.js yang cacat ke cuplikan yang pertama kali dibagikan di Github Gist pada tahun 2010. Dari sana, itu disalin dan ditempelkan di seluruh forum pengembang dan ke ribuan proyek, menjadi semacam hantu digital di mesin. Selama bertahun-tahun, pengembang yang mengangkat kekhawatiran tentang kode tersebut sering diberhentikan dalam forum komunitas. Sifat menipu cacat berkontribusi pada penyebarannya; Karena browser web modern secara otomatis membersihkan input jahat yang memicu bug, tes pengembang sendiri gagal mengungkapkan bahaya. Ini menciptakan rasa aman yang salah, memungkinkan pola yang rentan menjadi sangat mengakar dalam DNA aplikasi yang tak terhitung jumlahnya. Untuk memerangi bug pada skala, para peneliti merekayasa pipa yang canggih, multi-stage. Ini dimulai dengan memindai GitHub untuk pola kode yang terkait dengan kerentanan, menggunakan analisis statis untuk menandai kandidat probabilitas tinggi, dan kemudian secara aktif berupaya mengeksploitasi cacat dalam lingkungan yang aman untuk menghilangkan positif palsu. Untuk kerentanan yang dikonfirmasi, ini meminta GPT-4 untuk menghasilkan tambalan, yang kemudian diuji untuk memastikannya memperbaiki masalah tanpa melanggar aplikasi. Model end-to-end ini mencerminkan dorongan industri yang lebih luas ke arah solusi keamanan otomatis. Dalam nada yang sama, META mengumumkan Pada bulan April 2025 A New Nchark, autopatch. Meskipun potensinya sangat besar, pendekatan ini memiliki kritiknya. In its April 2025 announcement, Meta also revealed LlamaFirewall, a tool designed specifically to act as a guardrail to prevent models from menghasilkan kode yang tidak aman seperti itu. Pada bulan November, agen AI tidur besar Google untuk menemukan masalah keamanan dalam perangkat lunak, mengungkap kerentanan serius di SQLite, mesin basis data open-source yang banyak digunakan dalam aplikasi perangkat lunak dan sistem tertanam. Big Sleep emerged from Google’s previous Project Naptime, a collaboration between Project Zero and DeepMind, is an experimental AI agent designed to autonomously identify security flaws. Juga tahun lalu, Startup Protect AI meluncurkan Vulnhuntr, alat komersial menggunakan model Claude Anthropic untuk menemukan kerentanan nol-hari dalam kode Python. Perusahaan ini sekarang mungkin sourcing dari contagon dari contagon. adalah bagaimana kerentanan telah menginfeksi model AI itu sendiri. Karena model bahasa besar dilatih tentang perilaku besar kode publik dari GitHub, mereka telah mempelajari pola yang tidak aman sebagai praktik standar. Para peneliti menemukan bahwa ketika diminta untuk membuat server file sederhana, banyak LLM populer akan dengan percaya diri mereproduksi bug berusia 15 tahun, bahkan ketika secara eksplisit diminta untuk menulis versi yang aman. Masalah”beracun llm”ini adalah masalah yang berkembang pesat. Menurut Endor Labs , 62% dari kode yang dihasilkan AI-Bugs atau cacat keamanan. Tantangannya tidak lagi hanya memperbaiki kode warisan, tetapi memastikan alat-alat yang membangun kode masa depan tidak melanggengkan kesalahan masa lalu. Proyek akademik adalah pertempuran utama dalam perlombaan senjata AI yang lebih besar dan meningkat untuk cybersecurity. Lapangan ini melihat masuknya investasi dan inovasi yang besar ketika perusahaan bergegas membangun pertahanan bertenaga AI. Tren ini semakin cepat. Pada bulan Maret 2025, perusahaan keamanan Mengumpulkan intelijen ancaman, memprioritaskan kerentanan, dan membangun tes keamanan berbasis muatan.” Gelombang inovasi ini menggarisbawahi perubahan mendasar. Proyek para peneliti, walaupun akademis, adalah bukti konsep yang kuat di bidang yang sekarang ditentukan oleh tantangan ganda: memanfaatkan AI sebagai senjata pertahanan yang kuat sambil secara bersamaan mengurangi risiko keamanan baru yang diciptakan AI sendiri. Masa depan keamanan perangkat lunak kemungkinan akan bergantung pada siapa yang dapat menguasai tindakan penyeimbangan yang kompleks ini terlebih dahulu. di luar deteksi: membangun fixer bertenaga AI
