Jaunākais Mākslīgā intelekta modeļi ir ne tikai ievērojami labi piemēroti programmatūras inženierijai-jaunie pētījumi liecina, ka viņi arvien vairāk kļūst par kļūdu atrašanu programmatūrā.
AI pētnieki UC Berkeley pārbaudīja, cik labi jaunākie AI modeļi un aģenti varētu atrast ievainojamības 188 lielās atvērtā koda kodu bāzēs. Izmantojot a jauns etalons izsaukt KiberģijaAI modeļi identificēja 17 jaunas kļūdas, ieskaitot 15 iepriekš nezināmas jeb “nulles dienas”. “Daudzas no šīm ievainojamībām ir kritiskas,” saka Daybreak Music, UC Berkeley profesors, kurš vadīja darbu.
Daudzi eksperti sagaida, ka AI modeļi kļūs par milzīgiem kiberdrošības ieročiem. AI rīks no starta Xbow šobrīd ir izlicis hakerona rindasBugu medību līderi un šobrīd atrodas augstākajā vietā. Uzņēmums nesen paziņoja par 75 miljoniem dolāru jaunu finansējumu.
Dziesma saka, ka jaunāko AI modeļu kodēšanas prasmes apvienojumā ar spriešanas spēju uzlabošanu sāk mainīt kiberdrošības ainavu. “Šis ir galvenais brīdis,” viņa saka. “Tas faktiski pārsniedza mūsu vispārējās cerības.”
Tā kā modeļi turpina uzlaboties, tie automatizēs gan drošības trūkumu atklāšanas, gan izmantošanas procesu. Tas varētu palīdzēt uzņēmumiem saglabāt savu programmatūru drošībā, wager var arī palīdzēt hakeriem iekļūt sistēmās. “Mēs pat tik smagi nemēģinājām,” saka Music. “Ja mēs palielinātu budžetu, ļāva aģentiem ilgāk skriet, viņi varētu darīt vēl labāk.”
UC Berkeley komanda pārbaudīja parastos Frontier AI modeļus no Openai, Google un Antropic, kā arī atvērtā koda piedāvājumi no Meta, DeepSeek un Alibaba apvienojumā ar vairākiem aģentiem, lai atrastu kļūdas, ieskaitot Atvērtās rokasVerdzība Kibenhsun MīklaApvidū
Pētnieki izmantoja zināmo programmatūras ievainojamību aprakstus no 188 programmatūras projektiem. Pēc tam viņi baroja aprakstus kiberdrošības aģentiem, kurus darbina pierobežas AI modeļi, lai noskaidrotu, vai tie varētu identificēt tos pašus trūkumus sev, analizējot jaunas kodu bāzes, veicot testus un izstrādājot koncepcijas pierādījumu. Komanda arī lūdza aģentus pašiem medīt jaunas ievainojamības kodu bāzēs.
Izmantojot procesu, AI rīki radīja simtiem koncepcijas pierādījumu izmantošanas, un no šiem izmantojumiem pētnieki identificēja 15 iepriekš neredzētās ievainojamības un divas iepriekš atklātās un ielāpētas ievainojamības. Darbs papildina arvien pieaugošos pierādījumus tam, ka AI var automatizēt nulles dienu ievainojamības atklāšanu, kas ir potenciāli bīstama (un vērtīga), jo tie var nodrošināt veidu, kā uzlauzt dzīvās sistēmas.
Šķiet, ka AI tomēr ir lemts kļūt par nozīmīgu kiberdrošības nozares sastāvdaļu. Drošības eksperts Šons Heelans nesen atklāts Nulles dienas nepilnība plaši izmantotajā Linux kodolā ar Openai argumentācijas modeļa O3 palīdzību. Pagājušā gada novembrī, Google paziņots ka tā bija atklājusi iepriekš nezināmu programmatūras ievainojamību, izmantojot AI, izmantojot programmu ar nosaukumu Challenge Zero.
Tāpat kā citas programmatūras nozares daļas, daudzām kiberdrošības firmām ir sajūsmā par AI potenciālu. Jaunais darbs patiešām parāda, ka AI regulāri var atrast jaunus trūkumus, wager tas arī izceļ arī palikušos tehnoloģijas ierobežojumus. AI sistēmas nespēja atrast lielāko daļu trūkumu, un tās aizrāva īpaši sarežģīti.
