- AI Agents Are Getting Better at Writing Code—and Hacking It as Well
- One of the best bug-hunters in the world is an AI tool called Xbow, just one of many signs of the coming age of cybersecurity automation.
L'IA va a caccia di bug
Will Knight, Senior Writer
Gli ultimi modelli di intelligenza artificiale non solo sono notevolmente bravi nell'ingegneria del software, ma una nuova ricerca dimostra che stanno diventando sempre migliori anche nel trovare bug nel software.
I ricercatori di intelligenza artificiale dell'UC Berkeley hanno testato quanto bene gli ultimi modelli e agenti di intelligenza artificiale potessero trovare vulnerabilità in 188 grandi codebase open source. Utilizzando un nuovo benchmark chiamato CyberGym, i modelli di intelligenza artificiale hanno identificato 17 nuovi bug, tra cui 15 precedentemente sconosciuti, o “zero-day”. “Molte di queste vulnerabilità sono critiche”, afferma Dawn Song, professoressa all'UC Berkeley che ha guidato il lavoro.
Molti esperti si aspettano che i modelli di intelligenza artificiale diventino formidabili armi per la sicurezza informatica. Uno strumento di intelligenza artificiale della startup Xbow attualmente è salito nelle classifiche della classifica di HackerOne per la caccia ai bug e attualmente occupa il primo posto. La società ha recentemente annunciato 75 milioni di dollari di nuovi finanziamenti.
Song afferma che le capacità di codifica degli ultimi modelli di intelligenza artificiale combinate con il miglioramento delle capacità di ragionamento stanno iniziando a cambiare il panorama della sicurezza informatica. “Questo è un momento cruciale”, dice. “In realtà ha superato le nostre aspettative generali.”
Man mano che i modelli continuano a migliorare, automatizzeranno il processo sia di scoperta che di sfruttamento delle falle di sicurezza. Ciò potrebbe aiutare le aziende a proteggere il loro software, ma potrebbe anche aiutare gli hacker a violare i sistemi. “Non ci abbiamo nemmeno provato con impegno”, afferma Song. “Se aumentassimo il budget, permettessimo agli agenti di funzionare più a lungo, potrebbero fare anche meglio.”
Il team dell'UC Berkeley ha testato i modelli di intelligenza artificiale di frontiera convenzionali di OpenAI, Google e Anthropic, nonché le offerte open source di Meta, DeepSeek e Alibaba combinate con diversi agenti per la ricerca di bug, tra cui OpenHands, Cybench ed EnIGMA.
I ricercatori hanno utilizzato descrizioni delle vulnerabilità software note dei 188 progetti software. Hanno quindi fornito le descrizioni agli agenti di sicurezza informatica basati su modelli di intelligenza artificiale di frontiera per vedere se potevano identificare da soli gli stessi difetti analizzando nuove codebase, eseguendo test e creando exploit proof-of-concept. Il team ha anche chiesto agli agenti di cercare nuove vulnerabilità nelle codebase da soli.
Attraverso il processo, gli strumenti di intelligenza artificiale hanno generato centinaia di exploit proof-of-concept, e di questi exploit i ricercatori hanno identificato 15 vulnerabilità precedentemente non viste e due vulnerabilità che erano state precedentemente divulgate e corrette. Il lavoro si aggiunge alla crescente evidenza che l'IA può automatizzare la scoperta di vulnerabilità zero-day, che sono potenzialmente pericolose (e preziose) perché possono fornire un modo per violare i sistemi in tempo reale.
L'IA sembra destinata a diventare un'importante parte del settore della sicurezza informatica, tuttavia.
L'esperto di sicurezza Sean Heelan ha recentemente scoperto un difetto zero-day nel kernel Linux ampiamente utilizzato con l'aiuto del modello di ragionamento o3 di OpenAI. Lo scorso novembre, Google ha annunciato di aver scoperto una vulnerabilità software precedentemente sconosciuta utilizzando l'IA attraverso un programma chiamato Project Zero.
Come altre parti del settore del software, molte aziende di sicurezza informatica sono innamorate del potenziale dell'IA. Il nuovo lavoro mostra infatti che l'IA può trovare regolarmente nuovi difetti, ma evidenzia anche i limiti rimanenti della tecnologia. I sistemi di intelligenza artificiale non sono stati in grado di trovare la maggior parte dei difetti e sono rimasti perplessi da quelli particolarmente complessi.
“Il lavoro è fantastico”, afferma Katie Moussouris, fondatrice e CEO di Luta Security, anche perché dimostra che l'IA non è ancora all'altezza dell'esperienza umana: la migliore combinazione di modello e agente (Claude e OpenHands) è stata in grado di trovare solo circa il 2% delle vulnerabilità. “Non sostituite ancora i vostri cacciatori di bug umani”, dice Moussouris.
Moussouris afferma di essere meno preoccupata per l'hacking di software da parte dell'IA che per le aziende che investono troppo in IA a scapito di altre tecniche.
