Studiuesit akademikë kanë zhvilluar një sistem të automatizuar duke përdorur AI gjeneruese që mund të gjuajë, verifikojë dhe gjenerojë rregullime për një ndjeshmëri kritike të softuerit që është përhapur në heshtje në projekte me burim të hapur për 15 vjet. Tubacioni me AI me fuqi tashmë ka identifikuar 1,756 projekte të Node.js të prekshme në GitHub dhe ka çuar me sukses në 63 prej tyre duke u rregulluar, duke dëshmuar qëndrueshmërinë e një qasje nga fundi në fund ndaj riparimit të automatizuar të sigurisë. Sistemi jo vetëm që gjen të metën, por përdor gjithashtu GPT-4 të Openai për të shkruar dhe vërtetuar një copë toke, duke mbyllur në mënyrë efektive një vrimë sigurie që lejon sulmuesit të hyjnë në skedarë të kufizuar të serverëve. trajton ciklin e plotë të jetës së menaxhimit të cenueshmërisë në një shkallë më parë të paarritshme. Sidoqoftë, gjetjet e tyre gjithashtu erdhën me një paralajmërim të rreptë: modelet shumë të AI duke u paralajmëruar pasi e ardhmja e zhvillimit të softuerit shpesh”helmohet”,”pasi keni mësuar të përsërisin të njëjtin kod të pasigurt që ata tani po u kërkohet të rregullojnë.
Anatomia e një Bug Forever
Këmbëngulja e cenueshmërisë është një studim rasti në dinamikën komplekse sociale të softuerit me burim të hapur. Studiuesit gjurmuan kodin e metë të Node.js në një copëz të ndarë për herë të parë në Github Gist në 2010. Nga atje, ai u kopjua dhe u ngjit në forume të zhvilluesve dhe në mijëra projekte, duke u bërë një lloj fantazmë dixhitale në makinë. Natyra mashtruese e të metës kontribuoi në përhapjen e saj; Për shkak se shfletuesit moderne të uebit sanitizojnë automatikisht kontributin me qëllim të keq që shkakton gabimin, testet e vetë zhvilluesve nuk arritën të zbulojnë rrezikun. Kjo krijoi një sens të rremë të sigurisë, duke lejuar që modeli i prekshëm të futet thellë në ADN-në e aplikacioneve të panumërta. Fillon duke skanuar GitHub për modelet e kodeve të lidhura me dobësinë, përdor analizën statike për të flamuruar kandidatët me aftësi të larta, dhe më pas përpiqet në mënyrë aktive të shfrytëzojë të metën në një mjedis të sigurt për të eleminuar pozitivët e rremë. Për dobësitë e konfirmuara, ajo bën që GPT-4 të gjenerojë një copë toke, e cila më pas testohet për të siguruar që rregullon çështjen pa prishur aplikacionin. Në një mënyrë të ngjashme, meta njoftoi Në prill 2025 një shënim i ri, autopatchbench, vlerësim, vlerësim se si modelet automatike të mundshme. Ndërsa potenciali është i madh, qasja ka kritikët e saj. Në njoftimin e tij në Prill 2025, Meta zbuloi gjithashtu llamafirewall
Në nëntor Agjent i Big Sleep AI i Google për gjetjen e çështjeve të sigurisë në softuer, zbuloi një ndjeshmëri serioze në SQLite, një motor i të dhënave me burim të hapur të përdorur gjerësisht në aplikacionet e softuerit dhe sistemet e ngulitura. Big Sleep doli nga i identifikuar në mënyrë automatike të projektit të Google.
Gjithashtu vitin e kaluar, Startup Protec AI nisi Vulnhuntr, një mjet tregtar duke përdorur modelin Claude të Antropic për të gjetur dobësitë e ditës zero në kodin Python. Kompania tani është me burim të hapur Për të nxitur zhvillimin e komunitetit. është se si dobësia ka infektuar vetë modelet e AI. Për shkak se modele të mëdha gjuhësore janë të trajnuar në pragjet e mëdha të kodit publik nga GitHub, ata kanë mësuar modelin e pasigurt si praktikë standarde. Studiuesit zbuluan se kur u kërkua të krijonin një server të thjeshtë skedarësh, shumë LLM të njohura do të riprodhonin me besim bug 15-vjeçar, edhe kur kërkuan në mënyrë të qartë të shkruajnë një version të sigurt. Sipas laboratorët e endor , një 62% mahnitëse e kodit të gjeneruar nga AI përmban gabime ose të meta sigurie. Sfida nuk është më vetëm rregullimi i kodit të trashëgimisë, por sigurimi i mjeteve që ndërtojnë kodin e ardhshëm nuk po përjetësojnë gabimet e së kaluarës. Fusha po sheh një fluks masiv të investimeve dhe inovacionit ndërsa kompanitë nxitojnë të ndërtojnë mbrojtje me AI.
Kjo prirje po përshpejtohet. Në Mars 2025, firma e sigurisë
Kjo valë e inovacionit nënvizon një ndryshim themelor. Projekti i studiuesve, ndërsa akademik, është një provë e fuqishme e konceptit në një fushë të përcaktuar tani nga një sfidë e dyfishtë: përdorimi i AI si një armë e fuqishme mbrojtëse ndërsa zbutet njëkohësisht rreziqet e reja të sigurisë që krijon vetë AI. E ardhmja e sigurisë së softuerit ka të ngjarë të varet nga kush mund ta zotërojë së pari këtë akt kompleks balancimi.