- AI Agents Are Getting Better at Writing Code—and Hacking It as Well
- One of the best bug-hunters in the world is an AI tool called Xbow, just one of many signs of the coming age of cybersecurity automation.
एआई बग हंटिंग पर जाता है
विल नाइट, सीनियर राइटर
नवीनतम आर्टिफिशियल इंटेलिजेंस मॉडल न केवल सॉफ्टवेयर इंजीनियरिंग में उल्लेखनीय रूप से अच्छे हैं—नया शोध दिखाता है कि वे सॉफ्टवेयर में बग ढूंढने में भी बेहतर होते जा रहे हैं।
UC बर्कले के AI शोधकर्ताओं ने परीक्षण किया कि नवीनतम AI मॉडल और एजेंट 188 बड़े ओपन सोर्स कोडबेस में कमजोरियों को कितनी अच्छी तरह से ढूंढ सकते हैं। एक नए बेंचमार्क का उपयोग करके जिसे साइबरजिम, AI मॉडल ने 17 नए बग की पहचान की, जिनमें 15 पहले अज्ञात, या “शून्य-दिन,” वाले शामिल हैं। “इनमें से कई कमजोरियां गंभीर हैं,” डॉन सॉन्ग, UC बर्कले में एक प्रोफेसर, जिन्होंने इस काम का नेतृत्व किया, कहते हैं।
कई विशेषज्ञ उम्मीद करते हैं कि AI मॉडल दुर्जेय साइबर सुरक्षा हथियार बन जाएंगे। स्टार्टअप Xbow का एक AI टूल वर्तमान में बग हंटिंग के लिए हैकरवन के लीडरबोर्ड में आगे बढ़ गया है और वर्तमान में शीर्ष स्थान पर है। कंपनी ने हाल ही में 75 मिलियन डॉलर के नए फंड की घोषणा की।
सॉन्ग का कहना है कि नवीनतम AI मॉडल के कोडिंग कौशल को बेहतर तर्क क्षमताओं के साथ मिलाने से साइबर सुरक्षा परिदृश्य बदलना शुरू हो रहा है। “यह एक महत्वपूर्ण क्षण है,” वह कहती हैं। “वास्तव में इसने हमारी सामान्य अपेक्षाओं को पार कर लिया।”
जैसे-जैसे मॉडल बेहतर होते जाते हैं, वे सुरक्षा दोषों की खोज और शोषण दोनों की प्रक्रिया को स्वचालित करेंगे। इससे कंपनियों को अपने सॉफ्टवेयर को सुरक्षित रखने में मदद मिल सकती है, लेकिन इससे हैकर्स को सिस्टम में सेंध लगाने में भी मदद मिल सकती है। “हमने इतनी कड़ी कोशिश भी नहीं की,” सॉन्ग कहती हैं। “अगर हमने बजट बढ़ाया, एजेंटों को अधिक समय तक चलने दिया, तो वे और भी बेहतर कर सकते थे।”
UC बर्कले टीम ने OpenAI, Google, और Anthropic से पारंपरिक सीमावर्ती AI मॉडल के साथ-साथ Meta, DeepSeek, और Alibaba से ओपन सोर्स पेशकशों का परीक्षण किया, जिसमें OpenHands, Cybench, और EnIGMA सहित बग खोजने के लिए कई एजेंट शामिल हैं।
शोधकर्ताओं ने 188 सॉफ़्टवेयर परियोजनाओं से ज्ञात सॉफ़्टवेयर कमजोरियों के विवरण का उपयोग किया। फिर उन्होंने विवरणों को साइबर सुरक्षा एजेंटों को खिलाया जो सीमावर्ती AI मॉडल द्वारा संचालित थे ताकि यह देखा जा सके कि क्या वे नए कोडबेस का विश्लेषण करके, परीक्षण चलाकर, और प्रूफ-ऑफ-कांसेप्ट शोषण का निर्माण करके स्वयं समान दोषों की पहचान कर सकते हैं। टीम ने एजेंटों से कोडबेस में स्वयं नई कमजोरियों की खोज करने के लिए भी कहा।
प्रक्रिया के माध्यम से, AI टूल ने सैकड़ों प्रूफ-ऑफ-कांसेप्ट शोषण उत्पन्न किए, और इन शोषणों में से शोधकर्ताओं ने 15 पहले अनदेखी कमजोरियों और दो कमजोरियों की पहचान की जिन्हें पहले खुलासा और पैच किया गया था। इस काम से बढ़ते सबूत जुड़ते हैं कि AI शून्य-दिन कमजोरियों की खोज को स्वचालित कर सकता है, जो संभावित रूप से खतरनाक (और मूल्यवान) हैं क्योंकि वे लाइव सिस्टम को हैक करने का एक तरीका प्रदान कर सकते हैं।
फिर भी AI साइबर सुरक्षा उद्योग का एक महत्वपूर्ण हिस्सा बनने के लिए नियत प्रतीत होता है।
सुरक्षा विशेषज्ञ सीन हीलन ने हाल ही में OpenAI के तर्क मॉडल o3 की मदद से व्यापक रूप से उपयोग किए जाने वाले लिनक्स कर्नेल में एक शून्य-दिन दोष की खोज की। पिछले नवंबर में, Google ने घोषणा की कि उसने AI का उपयोग करके एक पूर्व में अज्ञात सॉफ़्टवेयर भेद्यता की खोज की है, जिसे प्रोजेक्ट ज़ीरो.
सॉफ्टवेयर उद्योग के अन्य हिस्सों की तरह, कई साइबर सुरक्षा फर्म AI की क्षमता से मोहित हैं। नया काम वास्तव में दिखाता है कि AI नियमित रूप से नए दोष ढूंढ सकता है, लेकिन यह तकनीक की शेष सीमाओं पर भी प्रकाश डालता है। AI सिस्टम अधिकांश दोषों को खोजने में असमर्थ थे और विशेष रूप से जटिल लोगों से चकरा गए।
“यह काम शानदार है,” कैटी मूसोरिस, लुटा सिक्योरिटी की संस्थापक और सीईओ, आंशिक रूप से इसलिए कि यह दर्शाता है कि AI अभी भी मानव विशेषज्ञता का मुकाबला नहीं कर सकता है—मॉडल और एजेंट संयोजन (क्लाउड और और ओपनहैंड्स) का सबसे अच्छा हिस्सा केवल लगभग 2 प्रतिशत कमजोरियों को ढूंढने में सक्षम था। “अभी तक अपने मानव बग शिकारियों को न बदलें,” मूसोरिस कहती हैं।
मूसोरिस का कहना है कि वह AI सॉफ़्टवेयर को हैकिंग करने के बारे में कम चिंतित हैं, बजाय इसके कि कंपनियां अन्य तकनीकों के खर्च पर AI में बहुत अधिक निवेश कर रही हैं।
