Проект штучного інтелекту Google «Big Sleep» виявляє реальні вразливості програмного забезпечення
За словами дослідників компанії, проект Google AI достатньо розумний, щоб самостійно виявляти вразливості програмного забезпечення в реальному світі.
Програма штучного інтелекту Google нещодавно виявила раніше невідому помилку в SQLite, механізмі бази даних з відкритим кодом. Потім компанія повідомила про вразливість до того, як вийшла офіційна версія програмного забезпечення, що спонукало SQLite випустити виправлення минулого місяця.
«Ми вважаємо, що це перший публічний приклад, коли агент штучного інтелекту знаходить раніше невідому проблему безпеки пам’яті, яку можна використовувати, у широко використовуваному реальному програмному забезпеченні», – написали дослідники безпеки Google у блозі в п’ятницю.
Ця новина поєднується з дедалі більшими дослідженнями, які показують, що сучасні великі мовні моделі мають потенціал для пошуку вразливостей програмного забезпечення, що потенційно дає технологічній галузі вкрай необхідну перевагу в захисті програмного забезпечення від хакерів.
Це не перший випадок, коли програма ШІ виявляє недоліки в програмному забезпеченні. Наприклад, у серпні інша велика програма мовної моделі під назвою Atlantis виявила окрему помилку в SQLite. Між тим, моделі машинного навчання, підмножина області штучного інтелекту, використовувалися роками для пошуку потенційних вразливостей у програмному коді.
Тим не менш, Google каже, що досягнення власної програми штучного інтелекту показують, що великі мовні моделі можуть виявляти більш складні помилки до випуску самого програмного забезпечення. «Ми вважаємо, що це багатообіцяючий шлях до того, щоб нарешті змінити ситуацію та отримати асиметричну перевагу для захисників», — пишуть дослідники компанії.
Спочатку проект Google називався « Проект Naptime », а потім став «Великим сном» — жартом про те, як дослідники компанії сподіваються, що програма ШІ стане достатньо спроможною, щоб дозволити дослідникам Google «регулярно дрімати» під час роботи.
Big Sleep був спеціально розроблений зі спеціальними інструментами, призначеними для «імітації робочого процесу дослідника людської безпеки» під час вивчення комп’ютерного коду певної програми. Google також розробив Big Sleep для виявлення варіантів існуючих помилок безпеки, які часто є повторюваними. проблема сучасного програмного забезпечення, якою охоче скористаються хакери.
«Нещодавно ми вирішили перевірити наші моделі та інструменти, запустивши наш перший масштабний експеримент з аналізом варіантів у реальному світі на SQLite», — пишуть дослідники Google. Це передбачало дозвіл Big Sleep переглядати останні зміни, внесені в базу коду SQLite. Агент Google зі штучного інтелекту зміг розслідувати проблему, ініціювавши помилку та збій SQLite, щоб краще зрозуміти та пояснити проблему за допомогою аналізу першопричини.
У результаті дослідники Google написали: «Якщо їм надати правильні інструменти, поточні LLM можуть виконувати дослідження вразливостей». Тим не менш, у дописі в блозі визнається, що спеціалізований інструмент пошуку помилок, відомий як «цільовий фаззер», який може вставляти випадковий код у програму, також був би ефективним у пошуку тієї самої помилки в SQLite.
Тим не менш, дослідники компанії роблять висновок: «Ми сподіваємося, що в майбутньому ці зусилля приведуть до значної переваги для захисників — з потенціалом не тільки знаходити тестові випадки збоїв, але й забезпечувати високоякісний аналіз першопричин, сортування та вирішення проблем може бути набагато дешевшим і ефективнішим у майбутньому».
Samsung змінює лідерство в просуванні чіпів ШІ
Читати 1 хв.