Projekti i AI Big Sleep i Google zbulon dobësi reale të softuerit

Një projekt i Google AI është mjaft i zgjuar për të zbuluar dobësitë e softuerit në botën reale, sipas studiuesve të kompanisë.

Programi i AI i Google zbuloi kohët e fundit një gabim të panjohur dhe të shfrytëzuar më parë në SQLite, një motor të dhënash me burim të hapur. Kompania më pas raportoi dobësinë përpara se të arrinte një lëshim zyrtar të softuerit, gjë që bëri që SQLite të lëshonte një rregullim muajin e kaluar.

“Ne besojmë se ky është shembulli i parë publik i një agjenti të AI që gjen një problem të panjohur më parë të sigurisë së memories së shfrytëzuar në softuer të përdorur gjerësisht në botën reale,” shkruajtën studiuesit e sigurisë të Google në një postim në blog të premten.

Lajmet i bashkohen kërkimeve në rritje që tregojnë se modelet e mëdha të gjuhëve të sotme kanë potencialin për të gjetur dobësi të softuerit, duke i dhënë potencialisht industrisë së teknologjisë një avantazh shumë të nevojshëm në mbrojtjen e softuerit kundër hakerëve.

Kjo nuk është hera e parë që një program i AI zbulon të meta në softuer. Në gusht, për shembull, një program tjetër i madh i modelit të gjuhës i quajtur Atlantis zbuloi një gabim të veçantë në SQLite. Ndërkohë, modelet e mësimit të makinerive, një fushë nëngrupi e AI, janë përdorur prej vitesh për të gjetur gjithashtu dobësi të mundshme në kodin e softuerit.

Megjithatë, Google thotë se arritja me programin e vet të AI tregon se është e mundur që modelet e mëdha të gjuhëve të zbulojnë gabime më komplekse përpara se të lëshohet vetë softueri. “Ne mendojmë se kjo është një rrugë premtuese drejt ndryshimit përfundimisht të tabelave dhe arritjes së një avantazhi asimetrik për mbrojtësit,” shkruajnë studiuesit e kompanisë.

Projekti i Google fillimisht u quajt Project Naptime përpara se të bëhej Gjumë i madh, një shaka rreth asaj se si studiuesit e kompanisë shpresojnë se programi i AI do të bëhet mjaft i aftë për t’i lejuar studiuesit njerëzorë të Google “të bëjnë sy gjumë të rregullt” në punë.

Big Sleep u krijua posaçërisht me mjete speciale që synojnë “për të imituar rrjedhën e punës së një studiuesi të sigurisë njerëzore” kur shqyrton kodin kompjuterik të një programi specifik. Google gjithashtu zhvilloi Big Sleep për të parë variantet e gabimeve ekzistuese të sigurisë, të cilat shpesh janë të përsëritura problem në softuerin e sotëm që hakerët do ta shfrytëzojnë me padurim.

“Kohët e fundit, ne vendosëm të vëmë në provë modelet dhe veglat tona duke ekzekutuar eksperimentin tonë të parë të gjerë të analizës së varianteve të botës reale në SQLite,” shkruajnë studiuesit e Google. Kjo përfshinte lejimin e Big Sleep të rishikonte ndryshimet e fundit të bëra në bazën e kodit të SQLite. Agjenti i AI i Google ishte në gjendje të hetonte duke shkaktuar defektin dhe rrëzimin e SQLite për ta ndihmuar atë të kuptonte dhe shpjegonte më mirë problemin përmes një analize të shkakut rrënjësor.

Si rezultat, studiuesit e Google shkruan: “Kur pajisen me mjetet e duhura, LLM-të aktuale mund të kryejnë kërkime për cenueshmërinë.” Thënë kështu, postimi i blogut pranon se një mjet i specializuar për gjetjen e gabimeve, i njohur si “fuzzer specifik i objektivit”, i cili mund të injektojë kodin e rastësishëm në një program, do të kishte qenë gjithashtu efektiv në gjetjen e të njëjtit gabim në SQLite.

Megjithatë, studiuesit e kompanisë përfundojnë: “Ne shpresojmë që në të ardhmen kjo përpjekje do të çojë në një avantazh të rëndësishëm për mbrojtësit – me potencialin jo vetëm për të gjetur raste të provës së përplasjes, por edhe për të ofruar analiza të cilësisë së lartë të shkaqeve rrënjësore, triazhim dhe kontrollim dhe Rregullimi i çështjeve mund të jetë shumë më i lirë dhe më efektiv në të ardhmen.”