أحدث نماذج الذكاء الاصطناعي ليست جيدة بشكل ملحوظ في هندسة البرمجيات فحسب ، بل تظهر الأبحاث الجديدة أنها تحصل على استمرار في العثور على الأخطاء في البرمجيات أيضًا.
اختبر باحثو الذكاء الاصطناعى في جامعة كاليفورنيا في بيركلي مدى جودة أحدث نماذج وموظفي الذكاء الاصطناعي في الثغرات الأمنية في 188 كود مصدر مفتوح كبير. باستخدام معيار جديد يسمى Cybergym ، حددت نماذج الذكاء الاصطناعى 17 حشرة جديدة بما في ذلك 15 غير معروفة سابقًا ، أو “يوم صفر”. يقول Dawn Song ، الأستاذ في جامعة كاليفورنيا في بيركلي الذي قاد العمل: “العديد من نقاط الضعف هذه حاسمة”.
يتوقع العديد من الخبراء أن تصبح نماذج الذكاء الاصطناعي أسلحة للأمن السيبراني. تسللت أداة AI من بدء التشغيل XBOW حاليًا صفوف لوحة المتصدرين في Hackerone لصيد الأخطاء وتجلس حاليًا في أعلى مكان. أعلنت الشركة مؤخرًا عن 75 مليون دولار في تمويل جديد.
تقول سونغ أن مهارات الترميز لأحدث نماذج الذكاء الاصطناعي جنبًا إلى جنب مع تحسين قدرات التفكير بدأت في تغيير مشهد الأمن السيبراني. “هذه لحظة محورية” ، كما تقول. “لقد تجاوزت بالفعل توقعاتنا العامة.”
مع استمرار تحسين النماذج ، فإنها ستتم أتمتة عملية اكتشاف واستغلال عيوب الأمان. قد يساعد ذلك الشركات على الحفاظ على برامجها آمنة ولكنها قد تساعد المتسللين في اقتحام الأنظمة. يقول سونج: “لم نحاول حتى ذلك بجد”. “إذا قمنا بتصاعد الميزانية ، سمحت للوكلاء بالترشح لفترة أطول ، فيمكنهم القيام بعمل أفضل”.
اختبر فريق UC Berkeley طرز Frontier AI التقليدية من Openai و Google و Nothropic ، بالإضافة إلى عروض مفتوحة المصدر من Meta و Deepseek و Alibaba مع العديد من الوكلاء للعثور على الأخطاء ، بما في ذلك Openhands و Cybench و Enigma.
استخدم الباحثون أوصافًا لنقاط الضعف المعروفة للبرمجيات من 188 مشروع برمجيات. ثم أطعموا الأوصاف لوكلاء الأمن السيبراني مدعومًا بنماذج Frontier AI لمعرفة ما إذا كان بإمكانهم تحديد نفس العيوب لأنفسهم من خلال تحليل عمليات الكود الجديدة ، واختبارات التشغيل ، وصياغة مآثر إثبات المفهوم. كما طلب الفريق من الوكلاء البحث عن نقاط ضعف جديدة في Codebases بأنفسهم.
من خلال هذه العملية ، قامت أدوات الذكاء الاصطناعى بإنشاء مئات من مآثر إثبات المفهوم ، ومن هذه الاستغلال ، حدد الباحثون 15 نقاط الضعف غير المرئية سابقًا واثنين من نقاط الضعف التي تم الكشف عنها سابقًا. يضيف العمل إلى أدلة متزايدة على أن الذكاء الاصطناعى يمكنه أتمتة اكتشاف نقاط الضعف ليوم الصفر ، والتي من المحتمل أن تكون خطرة (وقيمة) لأنها قد توفر وسيلة لاختراق الأنظمة الحية.
يبدو أن منظمة العفو الدولية مقدمة لتصبح جزءًا مهمًا من صناعة الأمن السيبراني. اكتشف خبير الأمن شون هيلان مؤخرًا عيبًا في يوم صفر في Kernel Linux kernel المستخدمة على نطاق واسع بمساعدة من Model Openai's Model O3. في نوفمبر الماضي ، أعلنت Google أنها اكتشفت ثغرة برمجية غير معروفة من قبل باستخدام الذكاء الاصطناعي من خلال برنامج يسمى Project Zero.
مثل أجزاء أخرى من صناعة البرمجيات ، فإن العديد من شركات الأمن السيبراني مفتون بإمكانات الذكاء الاصطناعي. يوضح العمل الجديد بالفعل أن الذكاء الاصطناعى يمكنه العثور على عيوب جديدة بشكل روتيني ، ولكنه يسلط الضوء أيضًا على القيود المتبقية مع التكنولوجيا. لم تتمكن أنظمة الذكاء الاصطناعى من العثور على معظم العيوب وتم تعثرها من قبل الأنواع المعقدة بشكل خاص.
