Narzędzia AI poluje i łatki 15-letni „Forever Bug” na Github

Published by All Things Windows on

Naukowcy akademiccy opracowali zautomatyzowany system przy użyciu generatywnej sztucznej inteligencji, który może polować, weryfikować i generować poprawki dla krytycznej podatności na oprogramowanie, które od 15 lat rozciągały się w projektach typu open source. Rurociąg napędzany AI zidentyfikował już 1756 wrażliwych projektów Node.JS na GitHub i z powodzeniem doprowadził do łatki 63 z nich, co potwierdza rentowność kompleksowego podejścia do zautomatyzowanego naprawy bezpieczeństwa.

Przełom ten stanowi znaczącą skok poza prostą detekcję podatności. System nie tylko znajduje wadę, ale także wykorzystuje GPT-4 Openai do pisania i weryfikacji łatki, skutecznie zamykając dziurę zabezpieczającą, która umożliwia atakującym dostęp do ograniczonych plików serwerów.

W Niedawno opublikowano papierowy Pełni pełny cykl życia zarządzania podatnością na skalę wcześniej nieosiągalną. Jednak ich ustalenia były również wyraźne z ostrzeżeniem: same modele AI są zwiastowane jako przyszłość rozwoju oprogramowania są często „zatrute”, nauczyłem się replikować ten sam niepewny kod, o który są teraz proszeni o naprawę.

Beyond Detection: Budowanie folidera napędzanego AI

w celu zwalczania błędu na skalę, naukowcy zaprojektowali wyrafinowany, wieloetapowy zautomatyzowany rurociąg. Zaczyna się od skanowania GitHub pod kątem wzorców kodu związanych z podatnością na zagrożenia, wykorzystuje analizę statyczną do oznaczenia kandydatów o wysokiej jakości, a następnie aktywnie próbuje wykorzystać wadę w bezpiecznym środowisku w celu wyeliminowania fałszywych pozytywów. W przypadku potwierdzonych luk w zabezpieczeniach zachęca GPT-4 do wygenerowania łatki, która jest następnie testowana, aby upewnić się, że naprawia problem bez rozbicia aplikacji.

Ten kompleksowy model odzwierciedla szerszy przemysł w kierunku automatycznych rozwiązań bezpieczeństwa. W podobny sposób

W listopadzie agent AI Big Sleep Google do znalezienia problemów bezpieczeństwa w oprogramowaniu, odkrył poważną podatność w SQLite, silniku bazy danych open source powszechnie używanych w aplikacjach i systemach wbudowanych. Wielki sen wyłonił się z poprzedni projekt Google naptime , współpraca między projektem Zero i DeepMind, jest eksperymentalnym agentem ai zaprojektowanym przez autonomiczne identyfikację bezpieczeństwa. 

Również w zeszłym roku Startup Protect AI uruchomił Vulnhuntr, narzędzie komercyjne wykorzystujące model Claude w ANTROPIC w celu znalezienia luk w kodzie Python. Firma jest teraz Open-Sourcing projektu Współpracowanie rozwoju społeczności.

, gdy lekarstwo staje się kontaktem

, a może najwięcej badań z badań od badań. Jak podatność zarażała same modele AI. Ponieważ duże modele językowe są szkolone w zakresie rozległych kodeksu publicznego z GitHub, nauczyły się niepewnego wzorca jako standardowej praktyki. Naukowcy odkryli, że poproszeni o utworzenie prostego serwera plików, wiele popularnych LLM z pewnością odtworzyłoby 15-letni błąd, nawet gdy wyraźnie poproszono o napisanie bezpiecznej wersji.

Ten problem „zatruty LLM” jest szybko rosnącym problemem. Zgodnie z laboratorium endor , oszałamiające 62% kodu generowanego AII zawiera błędy lub filmy bezpieczeństwa. Wyzwaniem nie jest już tylko naprawianie starszego kodu, ale zapewnienie, że narzędzia budujące przyszły kod nie utrwala błędów z przeszłości.

Projekt akademicki jest kluczową bitwą w większym, eskalującym wyścigu zbrojeń AI o bezpieczeństwo cybernetyczne. W tej dziedzinie jest ogromny napływ inwestycji i innowacji, gdy firmy pędzą do budowy obrony zasilanej przez AI. 

Ten trend przyspiesza. W marcu 2025 r. Firma ochroniarska wykryć system nazywa to„ alfred “, który opisał jako narzędzie do„ tworzenia SLepless etycznego etycznego etycznego. autonomicznie zbiera inteligencję zagrożeń, priorytetyzuje luki w zabezpieczeniach i buduje testy bezpieczeństwa oparte na ładowności. “

Ta fala innowacji podkreśla zasadniczą zmianę. Projekt naukowców, choć akademicki, jest potężnym dowodem koncepcji w dziedzinie zdefiniowanej obecnie przez podwójne wyzwanie: wykorzystanie sztucznej inteligencji jako potężnej broni obronnej, jednocześnie ograniczając nowe ryzyko bezpieczeństwa, które tworzy sam AI. Przyszłość bezpieczeństwa oprogramowania prawdopodobnie będzie zależeć od tego, kto może najpierw opanować ten złożony akt równoważenia.

Categories: IT Info

Related Posts

IT Info

Jak sprawdzić skrót plików dla dowolnego pliku w systemie Windows 11 i 10

Chcesz sprawdzić Hash SHA1, SHA256, SHA384, SHA512 lub MD5? Możesz to zrobić bez użycia narzędzi innych firm w systemie Windows. Oto jak.

IT Info

Czy Twoje oprogramowanie do pracy jest narzędziem szpiegowskie? Gangi ransomware mówią tak

Grupy ransomware, takie jak mgła, teraz broni zaufane narzędzia w miejscu pracy, takie jak SYTECA do szpiegostwa, rozmycie granicy między hakowaniem a szpiegowaniem i tworzenie nowej fali zagrożeń dla korporacji

IT Info

Poprawka: Outlook nie może przenieść ani kopiować folderów.

Jeśli spróbujesz skopiować lub przenieść jeden lub więcej folderów Outlook do innej lokalizacji, a otrzymasz komunikat o błędzie „Nie możesz przenosić ani kopiować folderów. Nie można skopiować folderu.