یک عامل هوش مصنوعی موفق به کشف یک آسیبپذیری امنیتی ناشناخته و قابلسوءاستفاده مرتبط با ایمنی حافظه در نرمافزارهای پراستفاده در دنیای واقعی شده است. طبق اعلام پروژه صفر گوگل و دیپمایند، این اولین بار است که چنین کشفی، حداقل به صورت عمومی، صورت میگیرد. عامل شناساییکننده این آسیبپذیری که توسط مدل زبانی قدرتمند Big Sleep پشتیبانی میشود، به این موفقیت دست یافته است.
اگر با پروژه صفر آشنایی ندارید یا از موفقیتهای آن در حوزه امنیت بیاطلاع هستید، احتمالاً متوجه تلاشهای بیوقفه تیمی از هکرها و محققان امنیتی در کشف آسیبپذیریها نشدهاید. این پروژه، در کنار دیپمایند، آزمایشگاه هوش مصنوعی گوگل، عامل هوشمندی به نام Big Sleep را ایجاد کرده است که قادر به شناسایی آسیبپذیریهای واقعی در کدهای مورد استفاده در نرمافزارهای پراستفاده است. در این کشف، Big Sleep یک آسیبپذیری تحت عنوان «کمبود فضای حافظه در بافر پشته» در SQLite، یک موتور پایگاه داده اپنسورس معروف، یافته است.
این آسیبپذیری صفر روزه در اکتبر به تیم توسعه SQLite گزارش شد و همان روز رفع گردید. تیم Big Sleep از گوگل اعلام کرد که «این مشکل پیش از انتشار نسخه رسمی کشف شد و کاربران SQLite تحت تاثیر قرار نگرفتند.»
هوش مصنوعی میتواند آینده تکنیک Fuzzing باشد
اگر با تکنیک Fuzzing آشنایی ندارید، باید بدانید که این روش از دیرباز در تحقیقات امنیتی بهکار میرفته است. Fuzzing شامل استفاده از دادههای تصادفی برای شناسایی خطاها در کد است. اما تیم Big Sleep گوگل معتقد است که هوش مصنوعی میتواند به پر کردن خلأها کمک کند و آسیبپذیریها را پیش از عرضه نرمافزار شناسایی کند.
طبق اعلام این تیم، یافتن آسیبپذیری در یک پروژه اپنسورس پرکاربرد و بهخوبی Fuzz شده، نتیجهای هیجانانگیز است، اما اذعان دارند که این نتایج همچنان در مرحله «آزمایشی» قرار دارد. با این حال، آیندهای روشن پیشبینی میشود که این فناوری میتواند برای مدافعان امنیتی یک مزیت قابلتوجه ایجاد کند.
در حالی که اخبار Big Sleep گوگل امیدبخش است، اما باید همواره نیمه تاریک هوش مصنوعی در امنیت را نیز در نظر داشت.