گوگل از یافتن ۲۰ آسیب‌پذیری امنیتی توسط هوش مصنوعی خبر داد

هوش مصنوعی گوگل، شکارچی باگ‌ها، اولین دسته از آسیب‌پذیری‌های امنیتی را گزارش کرد.

هدر ادکینز، معاون امنیتی گوگل، روز دوشنبه اعلام کرد که Big Sleep، محقق آسیب‌پذیری مبتنی بر LLM (مدل زبانی بزرگ) این شرکت، 20 نقص در نرم‌افزارهای متن‌باز محبوب مختلف پیدا و گزارش کرده است.

ادکینز گفت که Big Sleep، که توسط بخش هوش مصنوعی گوگل، DeepMind، و همچنین تیم نخبه هکر آن، Project Zero، توسعه یافته است، اولین آسیب‌پذیری‌های خود را گزارش کرده است. این آسیب‌پذیری‌ها بیشتر در نرم‌افزارهای متن‌باز مانند کتابخانه صوتی و تصویری FFmpeg و مجموعه ویرایش تصویر ImageMagick یافت شده‌اند.

با توجه به اینکه این آسیب‌پذیری‌ها هنوز برطرف نشده‌اند، جزئیاتی از تأثیر یا شدت آن‌ها در دست نیست، زیرا گوگل هنوز نمی‌خواهد جزئیات را ارائه دهد. این یک سیاست استاندارد در هنگام انتظار برای رفع باگ‌ها است. اما صرف این واقعیت که Big Sleep این آسیب‌پذیری‌ها را پیدا کرده است، قابل توجه است، زیرا نشان می‌دهد این ابزارها شروع به کسب نتایج واقعی می‌کنند، حتی اگر در این مورد یک انسان درگیر بوده باشد.

کیمبرلی سامرا، سخنگوی گوگل، به دیپ تو تک گفت: “برای اطمینان از گزارش‌های با کیفیت و قابل اجرا، قبل از گزارش، یک متخصص انسانی در این حلقه داریم، اما هر آسیب‌پذیری توسط عامل هوش مصنوعی بدون دخالت انسان یافت و بازتولید شده است.”

رویال هانسن، معاون مهندسی گوگل، در X نوشت که این یافته‌ها “مرز جدیدی در کشف خودکار آسیب‌پذیری” را نشان می‌دهد.

ابزارهای مجهز به LLM که می‌توانند آسیب‌پذیری‌ها را جستجو و پیدا کنند، در حال حاضر یک واقعیت هستند. به غیر از Big Sleep، RunSybil و XBOW نیز وجود دارند.

XBOW پس از اینکه در یکی از تابلوهای امتیازات ایالات متحده در پلتفرم جایزه باگ HackerOne به رتبه اول رسید، خبرساز شد. توجه به این نکته مهم است که در بیشتر موارد، در نقطه‌ای از فرآیند، یک انسان برای تأیید اینکه شکارچی باگ مجهز به هوش مصنوعی یک آسیب‌پذیری قانونی پیدا کرده است، وجود دارد، همانطور که در مورد Big Sleep نیز این‌گونه است.

ولاد ایونسکو، یکی از بنیانگذاران و مدیر ارشد فناوری RunSybil، استارت‌آپی که شکارچیان باگ مجهز به هوش مصنوعی را توسعه می‌دهد، به دیپ تو تک گفت که Big Sleep یک پروژه “معتبر” است، با توجه به اینکه “طراحی خوبی دارد، افرادی که پشت آن هستند می‌دانند چه کار می‌کنند، Project Zero تجربه یافتن باگ را دارد و DeepMind قدرت و توکن‌های لازم برای صرف در این زمینه را داراست.”

بدیهی است که این ابزارها نویدهای زیادی دارند، اما معایب قابل توجهی نیز دارند. چندین نفر که پروژه‌های نرم‌افزاری مختلف را نگهداری می‌کنند، از گزارش‌های باگی که در واقع توهم هستند شکایت کرده‌اند و برخی آن‌ها را معادل سطل آشغال هوش مصنوعی در زمینه جایزه باگ می‌نامند.

ایونسکو قبلاً به دیپ تو تک گفته بود: “مشکلی که مردم با آن روبرو هستند این است که ما چیزهای زیادی دریافت می‌کنیم که شبیه طلا هستند، اما در واقع فقط آشغال هستند.”

منبع: techcrunch.com