Один із найкращих мисливців за багами у світі — інструмент штучного інтелекту Xbow. Це лише одна з ознак того, що настає ера автоматизації кібербезпеки. Новітні моделі штучного інтелекту вражають не лише навичками у розробці програм — нові дослідження показують, що вони дедалі краще знаходять помилки в коді.
Дослідники з UC Berkeley перевірили, наскільки добре нові AI-моделі можуть виявляти вразливості у 188 великих open-source проєктах. Завдяки новому бенчмарку CyberGym, моделі виявили 17 нових багів, серед яких 15 були zero-day. «Багато з них критичні», — каже професорка Dawn Song, яка очолювала дослідження.
Експерти прогнозують, що AI стане потужною зброєю у сфері кібербезпеки. Інструмент від стартапу Xbow вже очолив рейтинг HackerOne з полювання на баги. Компанія залучила $75 млн інвестицій.
Song зазначає, що здатність нових моделей до кодування та дедалі краща логіка змінюють правила гри. «Це переламний момент. Результати перевершили наші очікування», — каже вона.
AI-моделі зможуть автоматизувати як пошук, так і експлуатацію вразливостей. Це допоможе захищати ПЗ, але й спростить роботу хакерам. «Ми навіть не старалися на повну, — каже Song. — З більшим бюджетом і часом результати були б ще кращі.»
Команда тестувала передові AI-моделі від OpenAI, Google, Anthropic, а також open-source від Meta, DeepSeek і Alibaba. Їх поєднали з агентами для пошуку багів — OpenHands, Cybench і EnIGMA.
Використовуючи описи вже відомих вразливостей, дослідники перевіряли, чи зможе AI виявити ті ж помилки в новому коді — через аналіз, тестування й створення експлойтів. Також агентів просили шукати нові вразливості.
AI-інструменти згенерували сотні proof-of-concept експлойтів. Серед них виявили 15 нових і 2 вже відомі вразливості. Це ще один доказ того, що AI може автоматизувати пошук проблем — потенційно небезпечних та цінних, бо вони дозволяють зламувати реальні системи.
Як і решта IT-сфери, кібербезпека захоплена AI. Дослідження підтверджує, що AI справді знаходить нові баги, хоча й має обмеження: більшість вразливостей залишилися невиявленими, особливо складні.
«Це чудова робота», — каже Кеті Мусуріс, CEO Luta Security. Але підкреслює: навіть найкраща комбінація (Claude + OpenHands) знайшла лише 2% багів. «Людських мисливців за багами поки що не замінити», — додає вона. Вона також застерігає, що занадто велика ставка на AI може відволікти від інших важливих методів безпеки.
Брендан Долан-Ґавітт з NYU та дослідник Xbow вважає це дослідження реалістичним прикладом виявлення zero-day на великій базі коду за допомогою різних AI-завдань. Він очікує, що AI спричинить сплеск атак із застосуванням zero-day. «Зараз таких фахівців мало, але AI може змінити ситуацію», — каже він.
Хейден Сміт із Hunted Labs наголошує: чим більше людей зможуть знаходити вразливості за допомогою AI, тим важливішим стане відповідальне розкриття цих проблем, щоб уникнути зловживань.
У травні команда Dawn Song перевірила, наскільки ефективно AI може знаходити баги, за які дають винагороди. Наприклад, модель Claude Code від Anthropic знайшла баги на суму $1,350 і розробила патчі на $13,862, витративши при цьому лише кілька сотень доларів на виклики API.
У квітні Song разом з іншими експертами з AI-безпеки попередили, що в найближчому майбутньому удосконалені AI-моделі, ймовірно, будуть більше допомагати зловмисникам, ніж захисникам. Тому важливо пильно стежити за розвитком цих технологій. Для цього вони створили платформу AI Frontiers CyberSecurity Observatory, яка відслідковує можливості різних AI-інструментів за допомогою спеціальних тестів. За словами Song, серед усіх ризиків, пов’язаних із штучним інтелектом, кібербезпека може стати першою справжньою проблемою.
Авторка: Дар’я Бровченко
Немає коментарів:
Дописати коментар
Примітка: лише член цього блогу може опублікувати коментар.