Penyelidik akademik telah membangunkan sistem automatik menggunakan AI generatif yang boleh memburu, mengesahkan, dan menjana perbaikan untuk kelemahan perisian kritikal yang telah tersebar secara senyap merentasi projek sumber terbuka selama 15 tahun. Paip yang berkuasa AI telah mengenal pasti 1,756 projek node.js yang terdedah pada GitHub dan telah berjaya membawa kepada 63 daripadanya ditambal, membuktikan daya maju pendekatan akhir-ke-akhir untuk pemulihan keselamatan automatik. Sistem ini bukan sahaja mendapati kecacatan tetapi juga menggunakan GPT-4 OpenAI untuk menulis dan mengesahkan patch, dengan berkesan menutup lubang keselamatan yang membolehkan penyerang mengakses fail pelayan terhad.
bahawa kerja mereka menangani kitaran hayat penuh pengurusan kerentanan pada skala yang tidak dapat dicapai sebelumnya. Walau bagaimanapun, penemuan mereka juga datang dengan amaran yang nyata: model-model AI yang sangat digembar-gemburkan sebagai masa depan pembangunan perisian sering”diracuni,”setelah belajar meniru kod tidak selamat yang sama mereka diminta untuk menetapkan.
Anatomi Bug Forever
Kegigihan kerentanan adalah kajian kes dalam dinamik sosial kompleks perisian sumber terbuka. Para penyelidik mengesan kod node.js yang cacat ke coretan yang pertama kali dikongsi pada inti GitHub pada tahun 2010. Dari sana, ia disalin dan disisipkan di forum pemaju dan beribu-ribu projek, menjadi sejenis hantu digital dalam mesin. Sifat menipu yang cacat menyumbang kepada penyebarannya; Kerana pelayar web moden secara automatik membersihkan input berniat jahat yang mencetuskan bug, ujian pemaju sendiri gagal mendedahkan bahaya. Ini mewujudkan rasa aman yang salah, yang membolehkan corak yang terdedah menjadi sangat berakar umbi dalam DNA aplikasi yang tak terhitung jumlahnya. Ia bermula dengan mengimbas GitHub untuk corak kod yang dikaitkan dengan kelemahan, menggunakan analisis statik untuk membenderakan calon-calon kebarangkalian tinggi, dan kemudian secara aktif cuba mengeksploitasi kecacatan dalam persekitaran yang selamat untuk menghapuskan positif palsu. Untuk kelemahan yang disahkan, ia mendorong GPT-4 untuk menghasilkan patch, yang kemudiannya diuji untuk memastikan ia membetulkan isu tanpa melanggar aplikasi.
Model akhir-ke-akhir ini mencerminkan industri yang lebih luas ke arah penyelesaian keselamatan automatik. Dalam urat yang sama, Pada bulan November, ejen AI tidur besar Google untuk mencari isu keselamatan dalam perisian, menemui kelemahan yang serius di SQLite, enjin pangkalan data sumber terbuka yang digunakan secara meluas dalam aplikasi perisian dan sistem tertanam. Tidur besar muncul dari Juga tahun lepas, permulaan melindungi AI melancarkan Vulnhuntr, alat komersial menggunakan model Claude Anthropic untuk mencari kelemahan sifar hari dalam kod Python. Syarikat kini Trend ini mempercepatkan. Pada bulan Mac 2025, firma keselamatan
Gelombang inovasi ini menggariskan peralihan asas. Projek penyelidik, sementara akademik, adalah konsep bukti yang kuat dalam bidang yang kini ditakrifkan oleh cabaran dua: memanfaatkan AI sebagai senjata pertahanan yang kuat dan pada masa yang sama mengurangkan risiko keselamatan baru yang dicipta oleh AI sendiri. Masa depan keselamatan perisian mungkin bergantung pada siapa yang dapat menguasai tindakan pengimbangan kompleks ini terlebih dahulu.