- AI Agents Are Getting Better at Writing Code—and Hacking It as Well
- One of the best bug-hunters in the world is an AI tool called Xbow, just one of many signs of the coming age of cybersecurity automation.
A mesterséges intelligencia hibavadászatba kezd
Will Knight, vezető író
A legújabb mesterséges intelligencia modellek nemcsak figyelemre méltóan jók a szoftverfejlesztésben – az új kutatások szerint egyre jobbak a szoftverek hibáinak megtalálásában is.
A UC Berkeley-i AI-kutatók tesztelték, hogy a legújabb AI-modellek és ügynökök milyen jól tudják megtalálni a sebezhetőségeket 188 nagy nyílt forráskódú kódbázisban. Egy új mérce, a CyberGym, segítségével az AI modellek 17 új hibát azonosítottak, köztük 15 korábban ismeretlent, vagy nulladik napi hibát. Ezek a sebezhetőségek közül sok kritikus, mondja Dawn Song, a UC Berkeley professzora, aki a munkát vezette.
Sok szakértő arra számít, hogy az AI-modellek félelmetes kiberbiztonsági fegyverekké válnak. Az Xbow startup AI-eszköze jelenleg felkúszott a HackerOne hibavadászati ranglistáján, és jelenleg az első helyen áll. A cég a közelmúltban 75 millió dolláros új finanszírozást jelentett be.
Song szerint a legújabb AI-modellek kódolási készségei a javuló érvelési képességekkel kombinálva kezdik megváltoztatni a kiberbiztonsági tájat. Ez egy kulcsfontosságú pillanat, mondja. Valójában felülmúlta az általános elvárásainkat.
Ahogy a modellek folyamatosan fejlődnek, automatizálni fogják a biztonsági hibák felfedezésének és kihasználásának folyamatát. Ez segíthet a vállalatoknak abban, hogy biztonságban tartsák a szoftvereiket, de a hackereknek is segítséget nyújthat a rendszerek feltörésében. Nem is nagyon próbálkoztunk, mondja Song. Ha növelnénk a költségvetést, hagynánk, hogy az ügynökök tovább fussonak, még jobban teljesíthetnének.
A UC Berkeley-i csapat a hagyományos, élvonalbeli AI modelleket tesztelte az OpenAItól, a Googletől és az Anthropictól, valamint a Meta, a DeepSeek és az Alibaba nyílt forráskódú ajánlatait kombinálva több hibakereső ügynökkel, köztük az OpenHands, a Cybench és az EnIGMA.
A kutatók 188 szoftverprojektből ismert szoftver-sebezhetőségek leírását használták. Ezután a leírásokat a kiberbiztonsági ügynököknek adták, amelyeket az élvonalbeli AI modellek hajtottak, hogy lássák, képesek-e maguk is azonosítani ugyanazokat a hibákat új kódbázisok elemzésével, tesztek futtatásával és bizonyítási koncepció kihasználásával. A csapat arra is megkérte az ügynököket, hogy maguk keressenek új sebezhetőségeket a kódbázisokban.
A folyamat során az AI-eszközök több száz bizonyítási koncepció kihasználást generáltak, és ezek közül a kihasználások közül a kutatók 15 korábban nem látott sebezhetőséget azonosítottak, valamint két olyan sebezhetőséget, amelyet korábban nyilvánosságra hoztak és javítottak. A munka hozzájárul ahhoz, hogy egyre több bizonyíték van arra, hogy a mesterséges intelligencia automatizálhatja a nulladik napi sebezhetőségek felfedezését, amelyek potenciálisan veszélyesek (és értékesek), mert módot adhatnak az élő rendszerek feltörésére.
Úgy tűnik, a mesterséges intelligencia sorsa, hogy a kiberbiztonsági ipar fontos részévé váljon.
Sean Heelan biztonsági szakértő a közelmúltban egy nulladik napi hibát fedezett fel a széles körben használt Linux kernelben az OpenAI o3 érvelési modelljének segítségével. Tavaly novemberben a Google bejelentette, hogy mesterséges intelligencia segítségével egy korábban ismeretlen szoftver-sebezhetőséget fedezett fel egy Project Zero nevű programon keresztül.
A szoftveripar más területeihez hasonlóan sok kiberbiztonsági cég is rajong a mesterséges intelligencia (AI) potenciáljáért. Az új munka valóban azt mutatja, hogy a mesterséges intelligencia rutinszerűen találhat új hibákat, de a technológia megmaradt korlátait is kiemeli. Az AI-rendszerek nem tudták megtalálni a legtöbb hibát, és különösen összetett hibák miatt megakadtak.
“A munka fantasztikus” – mondja Katie Moussouris, a Luta Security alapítója és vezérigazgatója, részben azért, mert ez azt mutatja, hogy a mesterséges intelligencia még mindig nem tudja felvenni a versenyt az emberi szakértelemmel – a modell és az ügynök kombinációja (Claude és OpenHands) a sebezhetőségek mindössze körülbelül 2 százalékát tudta megtalálni. Még ne cserélje le az emberi hibavadászokat, mondja Moussouris.
Moussouris azt mondja, hogy kevésbé aggódik amiatt, hogy a mesterséges intelligencia feltöri a szoftvereket, mint amiatt, hogy a vállalatok túl sokat fektetnek a mesterséges intelligenciába más technikák rovására.
