Google เปิดตัวการผลักดันครั้งสำคัญสู่ความปลอดภัยทางไซเบอร์ที่ขับเคลื่อนด้วย AI ในวันจันทร์ โดยประกาศโครงการริเริ่มใหม่ 3 รายการเพื่อทำให้การป้องกันทางดิจิทัลเป็นแบบอัตโนมัติ
เครื่องมือหลักคือ CodeMender ซึ่งเป็นตัวแทน AI ใหม่ที่ค้นหาและแก้ไขข้อบกพร่องของซอฟต์แวร์ด้วยตัวมันเอง
หากต้องการความช่วยเหลือจากชุมชนความปลอดภัย Google ยัง เริ่มโปรแกรมล่ารางวัลข้อบกพร่องของ AI ใหม่พร้อมรางวัลสูงถึง $30,000 ความพยายามเหล่านี้เป็นส่วนหนึ่งของกลยุทธ์ของ Google ในการใช้ AI เพื่อต่อสู้กับภัยคุกคามทางไซเบอร์ นอกจากนี้ บริษัทยังเปิดตัว Secure AI Framework ที่อัปเดต
การเคลื่อนไหวนี้ส่งสัญญาณถึงการเพิ่มขึ้นอย่างมีนัยสำคัญในการใช้ AI เพื่อวัตถุประสงค์ในการป้องกัน สร้างต่อยอดจากงานก่อนหน้าของ Google ด้วยเครื่องมืออย่าง Big Sleep ซึ่งเป็น AI ที่เพิ่งป้องกันการแสวงหาผลประโยชน์ในโลกแห่งความเป็นจริง
กลยุทธ์พื้นฐานคือการสร้างข้อได้เปรียบที่ชัดเจนสำหรับผู้ปกป้อง
CodeMender: ตัวแทน AI สำหรับการป้องกันอัตโนมัติ
หัวใจสำคัญของการประกาศคือ CodeMender, ตัวแทนอัตโนมัติที่ออกแบบมาเพื่อแก้ไขช่องโหว่ของซอฟต์แวร์
ขับเคลื่อนโดยโมเดล Gemini Deep Think ขั้นสูงของ Google ทำให้สามารถให้เหตุผลผ่านโค้ดที่ซับซ้อนเพื่อระบุและแก้ไขความปลอดภัย ข้อบกพร่อง
CodeMender ทำงานทั้งเชิงโต้ตอบ แก้ไขจุดบกพร่องใหม่ๆ และเชิงรุก โดยการเขียนโค้ดใหม่เพื่อกำจัดช่องโหว่ทั้งคลาส
กระบวนการประกอบด้วยการวิเคราะห์สาเหตุเชิงลึกและระบบการตรวจสอบตนเองที่เป็นเอกลักษณ์โดยใช้ตัวแทน”วิจารณ์”เฉพาะทางเพื่อตรวจสอบการแก้ไข
ในระหว่างการพัฒนา เอเจนต์ได้ส่งการแก้ไขด้านความปลอดภัย 72 รายการไปยังโครงการโอเพ่นซอร์สแล้ว
ในกรณีสำคัญประการหนึ่ง บริษัทได้ใช้คำอธิบายประกอบด้านความปลอดภัยกับไลบรารี libwebp การแก้ไขที่อาจป้องกันการใช้ประโยชน์จาก iOS แบบคลิกเป็นศูนย์ตั้งแต่ปี 2023
ข้อบกพร่องใหม่ เงินรางวัลเพื่อสร้างแรงจูงใจให้กับการวิจัยด้านความปลอดภัยของ AI
เพื่อสนับสนุนความพยายามภายใน Google กำลังเปิดตัวโครงการรางวัลช่องโหว่ AI (VRP) โดยเฉพาะ
โปรแกรมนี้มีจุดมุ่งหมายเพื่อสร้างแรงจูงใจให้กับชุมชนการวิจัยด้านความปลอดภัยทั่วโลกในการค้นหาและรายงานข้อบกพร่องที่มีผลกระทบสูงในผลิตภัณฑ์ AI โดยได้รับรางวัลสูงสุดถึง 30,000 ดอลลาร์
VRP ใหม่รวบรวมและ ชี้แจงกฎเกณฑ์ในการรายงานปัญหาที่เกี่ยวข้องกับ AI โดยระบุไว้อย่างชัดเจนถึงการหาประโยชน์ด้านความปลอดภัย เช่น การแทรกทันทีและการขโมยข้อมูล
อย่างไรก็ตาม จะยกเว้นปัญหาที่เกี่ยวข้องกับการสร้างเนื้อหาที่เป็นอันตราย ซึ่ง Google แนะนำให้ผู้ใช้รายงานผ่านเครื่องมือแสดงความคิดเห็นในผลิตภัณฑ์
นี่เป็นการดำเนินการอย่างเป็นทางการที่มี จ่ายเงินให้นักวิจัยไปแล้วกว่า 430,000 ดอลลาร์สำหรับข้อบกพร่องที่เกี่ยวข้องกับ AI แม้ว่าโครงการนี้ถือเป็นขั้นตอนที่น่ายินดี แต่นักวิจารณ์บางคนแนะนำว่าการจ่ายเงินสูงสุดอาจต่ำเกินไปที่จะดึงดูดนักวิจัยชั้นนำสำหรับช่องโหว่ AI ที่ซับซ้อนที่สุด
การสร้างระบบนิเวศการป้องกัน AI ในเชิงรุก
องค์ประกอบที่สามของการประกาศของ Google คือการเปิดตัว Secure AI Framework (SAIF) 2.0
เวอร์ชันอัปเดตนี้ให้คำแนะนำใหม่เกี่ยวกับ การจัดการความเสี่ยงที่เกิดจากตัวแทน AI ที่เป็นอิสระมากขึ้น ซึ่งเป็นข้อกังวลที่เพิ่มขึ้นทั่วทั้งอุตสาหกรรม
ความคิดริเริ่มเหล่านี้เป็นการตอบสนองโดยตรงต่อกระแสการโจมตีทางไซเบอร์ที่ขับเคลื่อนด้วย AI ที่เพิ่มขึ้น ดังที่บริษัทอย่าง NTT DATA ระบุไว้ เครื่องมือรักษาความปลอดภัยแบบดั้งเดิมกำลังดิ้นรนเพื่อให้ทัน
Sheetal Mehta จาก NTT DATA ระบุไว้ก่อนหน้านี้ว่า”เครื่องมือรักษาความปลอดภัยที่กระจัดกระจายไม่สามารถตามการโจมตีอัตโนมัติในปัจจุบันได้”
กลยุทธ์ของ Google คือการสร้างความสำเร็จจากโครงการรักษาความปลอดภัย AI รุ่นก่อนๆ ตัวอย่างเช่น ตัวแทน Big Sleep พัฒนาจากการค้นพบจุดบกพร่องแรกใน SQLite ในช่วงปลายปี 2024 ไปจนถึงการต่อต้านภัยคุกคามที่สำคัญในเชิงรุกก่อนที่จะถูกโจมตีในช่วงกลางปี 2025
ด้วยเฟรมเวิร์กโอเพ่นซอร์ส เช่น SAIF และการพัฒนาเครื่องมืออัตโนมัติอย่าง CodeMender นั้น Google ตั้งเป้าที่จะรักษาความปลอดภัยไม่เพียงแค่ผลิตภัณฑ์ของตัวเองเท่านั้น แต่ยังรวมถึงระบบนิเวศของซอฟต์แวร์ที่กว้างขึ้นอีกด้วย
แนวทางที่ครอบคลุมนี้เน้นย้ำ ความมุ่งมั่นในระยะยาวของบริษัทในการสร้างความสมดุลด้านความปลอดภัยทางไซเบอร์ให้กับผู้พิทักษ์