- AI Agents Are Getting Better at Writing Code—and Hacking It as Well
- One of the best bug-hunters in the world is an AI tool called Xbow, just one of many signs of the coming age of cybersecurity automation.
AI เดินทางล่าหาบั๊ก
Will Knight นักเขียนอาวุโส
แบบจำลองปัญญาประดิษฐ์ (AI) ล่าสุดไม่เพียงแต่เก่งกาจในการเขียนโปรแกรมเท่านั้น—งานวิจัยใหม่แสดงให้เห็นว่าพวกเขากำลังเก่งขึ้นเรื่อย ๆ ในการค้นหาบั๊กในซอฟต์แวร์ด้วย
นักวิจัย AI ที่ UC Berkeley ได้ทดสอบว่าแบบจำลองและตัวแทน AI ล่าสุดสามารถค้นหาช่องโหว่ในฐานรหัสโอเพนซอร์สขนาดใหญ่ 188 รายการได้ดีเพียงใด ด้วยการใช้เกณฑ์มาตรฐานใหม่ที่เรียกว่า CyberGym, แบบจำลอง AI ระบุบั๊กใหม่ 17 รายการ ซึ่งรวมถึงบั๊กที่ไม่รู้จักก่อนหน้านี้ 15 รายการ หรือที่เรียกว่า “zero-day” “ช่องโหว่เหล่านี้หลายอย่างมีความสำคัญอย่างยิ่ง” กล่าวโดย Dawn Song, ศาสตราจารย์ที่ UC Berkeley ซึ่งเป็นหัวหน้างาน
ผู้เชี่ยวชาญหลายคนคาดหวังให้แบบจำลอง AI กลายเป็นอาวุธรักษาความปลอดภัยทางไซเบอร์ที่น่าเกรงขาม เครื่องมือ AI จากสตาร์ทอัพ Xbow ปัจจุบันได้ไต่ขึ้นสู่อันดับของ HackerOne สำหรับการล่าหาบั๊กและปัจจุบันอยู่ในอันดับต้น ๆ บริษัทเพิ่งประกาศเงินทุนใหม่ 75 ล้านดอลลาร์
Song กล่าวว่าทักษะการเขียนโค้ดของแบบจำลอง AI ล่าสุดรวมกับการปรับปรุงความสามารถในการให้เหตุผลกำลังเริ่มเปลี่ยนภูมิทัศน์ความปลอดภัยทางไซเบอร์ “นี่คือช่วงเวลาสำคัญ” เธอกล่าว “มันเกินความคาดหมายโดยทั่วไปของเราจริง ๆ”
เมื่อแบบจำลองยังคงพัฒนาต่อไป พวกเขาจะทำให้กระบวนการค้นพบและใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยเป็นไปโดยอัตโนมัติ ซึ่งอาจช่วยให้บริษัทต่าง ๆ รักษาความปลอดภัยของซอฟต์แวร์ได้ แต่ยังอาจช่วยให้แฮกเกอร์เจาะเข้าระบบได้อีกด้วย “เราไม่ได้พยายามอย่างหนักเลย” Song กล่าว “ถ้าเราเพิ่มงบประมาณ ปล่อยให้ตัวแทนทำงานนานขึ้น พวกเขาก็จะทำได้ดีกว่านี้”
ทีม UC Berkeley ได้ทดสอบแบบจำลอง AI ล้ำสมัยแบบดั้งเดิมจาก OpenAI, Google และ Anthropic รวมถึงข้อเสนอโอเพนซอร์สจาก Meta, DeepSeek และ Alibaba ร่วมกับตัวแทนหลายรายสำหรับการค้นหาบั๊ก รวมถึง OpenHands, Cybench และ EnIGMA
นักวิจัยใช้คำอธิบายเกี่ยวกับช่องโหว่ของซอฟต์แวร์ที่รู้จักจากโครงการซอฟต์แวร์ 188 โครงการ จากนั้นพวกเขาก็ป้อนคำอธิบายให้กับตัวแทนความปลอดภัยทางไซเบอร์ที่ขับเคลื่อนโดยแบบจำลอง AI ที่ทันสมัย เพื่อดูว่าพวกเขาสามารถระบุข้อบกพร่องเดียวกันได้ด้วยตนเองหรือไม่ โดยการวิเคราะห์ฐานรหัสใหม่ การทดสอบ และการสร้าง proof-of-concept exploits ทีมงานยังขอให้ตัวแทนค้นหาช่องโหว่ใหม่ ๆ ในฐานรหัสด้วยตัวพวกเขาเอง
ในระหว่างกระบวนการนี้ เครื่องมือ AI ได้สร้าง proof-of-concept exploits หลายร้อยรายการ และจาก exploits เหล่านี้ นักวิจัยได้ระบุช่องโหว่ที่ไม่เคยเห็นมาก่อน 15 รายการ และช่องโหว่สองรายการที่เคยเปิดเผยและได้รับการแก้ไขแล้ว งานนี้ช่วยเพิ่มหลักฐานที่เพิ่มมากขึ้นว่า AI สามารถทำให้การค้นพบช่องโหว่ zero-day เป็นไปโดยอัตโนมัติ ซึ่งอาจเป็นอันตราย (และมีค่า) เนื่องจากอาจเป็นหนทางในการเจาะระบบสดได้
อย่างไรก็ตาม ดูเหมือนว่า AI จะกลายเป็นส่วนสำคัญของอุตสาหกรรมความปลอดภัยทางไซเบอร์อย่างแน่นอน
Sean Heelan ผู้เชี่ยวชาญด้านความปลอดภัยเพิ่งค้นพบข้อบกพร่อง zero-day ในเคอร์เนล Linux ที่ใช้กันอย่างแพร่หลายด้วยความช่วยเหลือจากแบบจำลองการให้เหตุผล o3 ของ OpenAI เมื่อเดือนพฤศจิกายนที่ผ่านมา Google ประกาศว่าได้ค้นพบช่องโหว่ของซอฟต์แวร์ที่ไม่รู้จักก่อนหน้านี้โดยใช้ AI ผ่านโปรแกรมที่เรียกว่า Project Zero.
เช่นเดียวกับส่วนอื่น ๆ ของอุตสาหกรรมซอฟต์แวร์ บริษัทรักษาความปลอดภัยทางไซเบอร์หลายแห่งต่างก็หลงใหลในศักยภาพของ AI อย่างแท้จริง งานใหม่แสดงให้เห็นว่า AI สามารถค้นหาข้อบกพร่องใหม่ ๆ ได้เป็นประจำ แต่ก็เน้นให้เห็นถึงข้อจำกัดที่เหลืออยู่กับเทคโนโลยีด้วย ระบบ AI ไม่สามารถหาข้อบกพร่องส่วนใหญ่ได้ และยังต้องเผชิญกับข้อบกพร่องที่ซับซ้อนเป็นพิเศษ
“งานนี้ยอดเยี่ยมมาก” กล่าวโดย Katie Moussouris ผู้ก่อตั้งและ CEO ของ Luta Security, ส่วนหนึ่งเป็นเพราะมันแสดงให้เห็นว่า AI ยังไม่เทียบเท่ากับความเชี่ยวชาญของมนุษย์—การรวมกันของแบบจำลองและตัวแทนที่ดีที่สุด (Claude และ OpenHands) สามารถหาช่องโหว่ได้เพียงประมาณ 2 เปอร์เซ็นต์ “ยังไม่ต้องเปลี่ยนนักล่าบั๊กที่เป็นมนุษย์ของคุณ” Moussouris กล่าว
Moussouris กล่าวว่าเธอไม่ค่อยกังวลเกี่ยวกับการที่ AI แฮกซอฟต์แวร์เท่ากับบริษัทที่ลงทุนใน AI มากเกินไปจนทำให้เทคนิคอื่น ๆ เสียเปรียบ
