Τα πιο πρόσφατα μοντέλα τεχνητής νοημοσύνης δεν είναι μόνο εξαιρετικά καλά στη μηχανική λογισμικού — νέα έρευνα δείχνει ότι βελτιώνονται διαρκώς και στον εντοπισμό σφαλμάτων σε λογισμικό. Ποιο ρόλο έχουν οι πράκτορες σε όλο αυτό;
Ερευνητές στον τομέα της τεχνητής νοημοσύνης στο Πανεπιστήμιο της Καλιφόρνιας στο Μπέρκλεϊ (UC Berkeley) δοκίμασαν πόσο καλά μπορούν τα πιο σύγχρονα μοντέλα και πράκτορες ΤΝ να εντοπίζουν ευπάθειες σε 188 μεγάλα open source κώδικα. Χρησιμοποιώντας ένα νέο benchmark με την ονομασία CyberGym, τα μοντέλα εντόπισαν 17 νέα σφάλματα, εκ των οποίων 15 ήταν άγνωστα έως σήμερα “zero-day”. «Πολλές από αυτές τις ευπάθειες είναι κρίσιμες» δηλώνει η καθηγήτρια του UC Berkeley, Dawn Song, που ηγήθηκε της δουλειάς αυτής.
Πολλοί ειδικοί εκτιμούν ότι τα μοντέλα ΤΝ θα εξελιχθούν σε ισχυρά όπλα στον τομέα της κυβερνοασφάλειας. Ένα εργαλείο ΤΝ από την startup Xbow έχει ήδη σκαρφαλώσει στις κορυφαίες θέσεις της λίστας HackerOne για το κυνήγι σφαλμάτων και αυτή τη στιγμή βρίσκεται στην πρώτη θέση. Η εταιρεία ανακοίνωσε πρόσφατα ότι εξασφάλισε 75 εκατομμύρια δολάρια σε νέα χρηματοδότηση.
Η Song αναφέρει ότι οι προγραμματιστικές ικανότητες των σύγχρονων μοντέλων τεχνητής νοημοσύνης σε συνδυασμό με τις συνεχώς βελτιούμενες ικανότητές τους στη συλλογιστική, αρχίζουν να αλλάζουν το τοπίο της κυβερνοασφάλειας. «Αυτή είναι μια καίρια στιγμή», τονίζει. «Η απόδοσή τους ξεπέρασε τις προσδοκίες μας».
Καθώς τα μοντέλα συνεχίζουν να βελτιώνονται αναμένεται να αυτοματοποιήσουν τόσο τον εντοπισμό όσο και την εκμετάλλευση ευπαθειών ασφαλείας. Αυτό μπορεί να βοηθήσει τις εταιρείες να προστατεύουν καλύτερα τα συστήματά τους — αλλά ενδέχεται να διευκολύνει και τους χάκερ στην παραβίαση συστημάτων. «Δεν προσπαθήσαμε καν ιδιαίτερα. Αν αυξάναμε τον προϋπολογισμό και αφήναμε τους πράκτορες να λειτουργούν για περισσότερο χρόνο, θα μπορούσαν να αποδώσουν ακόμη καλύτερα».
Η ομάδα του UC Berkeley δοκίμασε προηγμένα μοντέλα ΤΝ από την OpenAI, την Google και την Anthropic, καθώς και ανοιχτού κώδικα μοντέλα από τις Meta, DeepSeek και Alibaba. Αυτά τα μοντέλα συνδυάστηκαν με πράκτορες ειδικούς στον εντοπισμό ευπαθειών, όπως οι OpenHands, Cybench και EnIGMA.
Οι ερευνητές χρησιμοποίησαν περιγραφές γνωστών ευπαθειών από τα 188 open source λογισμικά. Στη συνέχεια παρείχαν αυτές τις περιγραφές στους πράκτορες κυβερνοασφάλειας, βασισμένους στα ΤΝ μοντέλα αιχμής για να δουν αν μπορούν να εντοπίσουν τις ίδιες ευπάθειες σε νέο κώδικα, εκτελώντας δοκιμές και δημιουργώντας proof-of-concept exploits. Η ομάδα τούς ανέθεσε επίσης να αναζητήσουν από μόνοι τους νέες “ευπάθειες” στους κώδικες.
Κατά τη διάρκεια της διαδικασίας, τα εργαλεία ΤΝ παρήγαγαν εκατοντάδες αποδείξεις εκμετάλλευσης (exploits). Από αυτές οι ερευνητές εντόπισαν 15 πρωτοφανείς ευπάθειες και 2 ευπάθειες που είχαν ήδη γνωστοποιηθεί και επιδιορθωθεί. Τα δεδομένα προστίθενται στις συνεχώς αυξανόμενες αποδείξεις ότι η Τεχνητή Νοημοσύνη μπορεί να αυτοματοποιήσει τον εντοπισμό “zero-day” ευπαθειών, οι οποίες θεωρούνται ιδιαίτερα επικίνδυνες (και πολύτιμες), καθώς μπορούν να χρησιμοποιηθούν για την παραβίαση ενεργών συστημάτων.
Η τεχνητή νοημοσύνη φαίνεται πως είναι αναπόφευκτο να αποτελέσει βασικό κομμάτι της βιομηχανίας της κυβερνοασφάλειας. Ο ειδικός ασφαλείας Sean Heelan εντόπισε πρόσφατα μια “zero-day” ευπάθεια στον ευρέως χρησιμοποιούμενο πυρήνα Linux με τη βοήθεια του μοντέλου συλλογιστικής o3 της OpenAI. Τον Νοέμβριο η Google ανακοίνωσε ότι ανακάλυψε μια άγνωστη μέχρι τότε ευπάθεια λογισμικού μέσω ενός προγράμματος ΤΝ που ονομάζεται Project Zero.
Όπως και σε άλλους τομείς της βιομηχανίας λογισμικού, πολλές εταιρείες κυβερνοασφάλειας έχουν γοητευτεί από τις δυνατότητες της ΤΝ. Η νέα έρευνα δείχνει ότι τα εργαλεία ΤΝ μπορούν να εντοπίζουν νέες ευπάθειες σε τακτική βάση, αλλά παράλληλα αναδεικνύει και τα όρια της τεχνολογίας. Τα συστήματα ΤΝ δεν κατάφεραν να εντοπίσουν τις περισσότερες ευπάθειες και απέτυχαν όταν επρόκειτο για ιδιαίτερα περίπλοκες περιπτώσεις.
Ο Brendan Dolan-Gavitt, καθηγητής στο NYU Tandon και ερευνητής στην εταιρεία Xbow, αναφέρει ότι τα νέα δεδομένα δείχνουν ρεαλιστικές ανακαλύψεις zero-day ευπαθειών σε μεγάλα κομμάτια κώδικα, μέσω πληθώρας ΤΝ διαδικασιών.
Ο Dolan-Gavitt προβλέπει ότι οι επιθέσεις με zero-day exploits θα αυξηθούν με την πρόοδο της ΤΝ:
«Αυτή τη στιγμή είναι σπάνιες, γιατί ελάχιστοι άνθρωποι έχουν την τεχνογνωσία να τις εντοπίσουν και να δημιουργήσουν exploits. Η ΤΝ θα αλλάξει αυτό το τοπίο».
Ο Hayden Smith, συνιδρυτής της Hunted Labs (startup με εργαλεία ΤΝ για ανάλυση κώδικα), τονίζει ότι η λεγόμενη “agentic AI” έχει ιδιαίτερο ενδιαφέρον για ανακαλύψεις zero-day ευπαθειών. Προσθέτει ότι όσο γίνεται πιο εύκολο για περισσότερους να εντοπίζουν ευπάθειες με ΤΝ, τόσο πιο σημαντικό είναι να εξασφαλίζεται ότι οι αποκαλύψεις γίνονται υπεύθυνα.
Τον Μάιο, η Song και άλλοι ερευνητές μέτρησαν την ικανότητα των ΤΝ μοντέλων να εντοπίζουν ευπάθειες που αποφέρουν οικονομικές ανταμοιβές μέσω bug bounty προγραμμάτων. Τέτοια εργαλεία μπορούν δυνητικά να αποφέρουν δεκάδες χιλιάδες δολάρια. Το Claude Code από την Anthropic ήταν το πιο επιτυχημένο, βρίσκοντας ευπάθειες αξίας 1.350 δολαρίων σε bug bounty πλατφόρμες και προτείνοντας διορθώσεις για προβλήματα αξίας 13.862 δολαρίων, με κόστος μόλις μερικές εκατοντάδες δολάρια σε API κλήσεις.
*Με στοιχεία από το Wired.
➪ Ακολουθήστε το OLAFAQ στο Facebook, Bluesky και Instagram.
Τα πιο πρόσφατα μοντέλα τεχνητής νοημοσύνης δεν είναι μόνο εξαιρετικά καλά στη μηχανική λογισμικού — νέα έρευνα δείχνει ότι βελτιώνονται διαρκώς και στον εντοπισμό σφαλμάτων σε λογισμικό. Ποιο ρόλο έχουν οι πράκτορες σε όλο αυτό;
Ερευνητές στον τομέα της τεχνητής νοημοσύνης στο Πανεπιστήμιο της Καλιφόρνιας στο Μπέρκλεϊ (UC Berkeley) δοκίμασαν πόσο καλά μπορούν τα πιο σύγχρονα μοντέλα και πράκτορες ΤΝ να εντοπίζουν ευπάθειες σε 188 μεγάλα open source κώδικα. Χρησιμοποιώντας ένα νέο benchmark με την ονομασία CyberGym, τα μοντέλα εντόπισαν 17 νέα σφάλματα, εκ των οποίων 15 ήταν άγνωστα έως σήμερα “zero-day”. «Πολλές από αυτές τις ευπάθειες είναι κρίσιμες» δηλώνει η καθηγήτρια του UC Berkeley, Dawn Song, που ηγήθηκε της δουλειάς αυτής.
Πολλοί ειδικοί εκτιμούν ότι τα μοντέλα ΤΝ θα εξελιχθούν σε ισχυρά όπλα στον τομέα της κυβερνοασφάλειας. Ένα εργαλείο ΤΝ από την startup Xbow έχει ήδη σκαρφαλώσει στις κορυφαίες θέσεις της λίστας HackerOne για το κυνήγι σφαλμάτων και αυτή τη στιγμή βρίσκεται στην πρώτη θέση. Η εταιρεία ανακοίνωσε πρόσφατα ότι εξασφάλισε 75 εκατομμύρια δολάρια σε νέα χρηματοδότηση.
Η Song αναφέρει ότι οι προγραμματιστικές ικανότητες των σύγχρονων μοντέλων τεχνητής νοημοσύνης σε συνδυασμό με τις συνεχώς βελτιούμενες ικανότητές τους στη συλλογιστική, αρχίζουν να αλλάζουν το τοπίο της κυβερνοασφάλειας. «Αυτή είναι μια καίρια στιγμή», τονίζει. «Η απόδοσή τους ξεπέρασε τις προσδοκίες μας».
Καθώς τα μοντέλα συνεχίζουν να βελτιώνονται αναμένεται να αυτοματοποιήσουν τόσο τον εντοπισμό όσο και την εκμετάλλευση ευπαθειών ασφαλείας. Αυτό μπορεί να βοηθήσει τις εταιρείες να προστατεύουν καλύτερα τα συστήματά τους — αλλά ενδέχεται να διευκολύνει και τους χάκερ στην παραβίαση συστημάτων. «Δεν προσπαθήσαμε καν ιδιαίτερα. Αν αυξάναμε τον προϋπολογισμό και αφήναμε τους πράκτορες να λειτουργούν για περισσότερο χρόνο, θα μπορούσαν να αποδώσουν ακόμη καλύτερα».
Η ομάδα του UC Berkeley δοκίμασε προηγμένα μοντέλα ΤΝ από την OpenAI, την Google και την Anthropic, καθώς και ανοιχτού κώδικα μοντέλα από τις Meta, DeepSeek και Alibaba. Αυτά τα μοντέλα συνδυάστηκαν με πράκτορες ειδικούς στον εντοπισμό ευπαθειών, όπως οι OpenHands, Cybench και EnIGMA.
Οι ερευνητές χρησιμοποίησαν περιγραφές γνωστών ευπαθειών από τα 188 open source λογισμικά. Στη συνέχεια παρείχαν αυτές τις περιγραφές στους πράκτορες κυβερνοασφάλειας, βασισμένους στα ΤΝ μοντέλα αιχμής για να δουν αν μπορούν να εντοπίσουν τις ίδιες ευπάθειες σε νέο κώδικα, εκτελώντας δοκιμές και δημιουργώντας proof-of-concept exploits. Η ομάδα τούς ανέθεσε επίσης να αναζητήσουν από μόνοι τους νέες “ευπάθειες” στους κώδικες.
Κατά τη διάρκεια της διαδικασίας, τα εργαλεία ΤΝ παρήγαγαν εκατοντάδες αποδείξεις εκμετάλλευσης (exploits). Από αυτές οι ερευνητές εντόπισαν 15 πρωτοφανείς ευπάθειες και 2 ευπάθειες που είχαν ήδη γνωστοποιηθεί και επιδιορθωθεί. Τα δεδομένα προστίθενται στις συνεχώς αυξανόμενες αποδείξεις ότι η Τεχνητή Νοημοσύνη μπορεί να αυτοματοποιήσει τον εντοπισμό “zero-day” ευπαθειών, οι οποίες θεωρούνται ιδιαίτερα επικίνδυνες (και πολύτιμες), καθώς μπορούν να χρησιμοποιηθούν για την παραβίαση ενεργών συστημάτων.
Η τεχνητή νοημοσύνη φαίνεται πως είναι αναπόφευκτο να αποτελέσει βασικό κομμάτι της βιομηχανίας της κυβερνοασφάλειας. Ο ειδικός ασφαλείας Sean Heelan εντόπισε πρόσφατα μια “zero-day” ευπάθεια στον ευρέως χρησιμοποιούμενο πυρήνα Linux με τη βοήθεια του μοντέλου συλλογιστικής o3 της OpenAI. Τον Νοέμβριο η Google ανακοίνωσε ότι ανακάλυψε μια άγνωστη μέχρι τότε ευπάθεια λογισμικού μέσω ενός προγράμματος ΤΝ που ονομάζεται Project Zero.
Όπως και σε άλλους τομείς της βιομηχανίας λογισμικού, πολλές εταιρείες κυβερνοασφάλειας έχουν γοητευτεί από τις δυνατότητες της ΤΝ. Η νέα έρευνα δείχνει ότι τα εργαλεία ΤΝ μπορούν να εντοπίζουν νέες ευπάθειες σε τακτική βάση, αλλά παράλληλα αναδεικνύει και τα όρια της τεχνολογίας. Τα συστήματα ΤΝ δεν κατάφεραν να εντοπίσουν τις περισσότερες ευπάθειες και απέτυχαν όταν επρόκειτο για ιδιαίτερα περίπλοκες περιπτώσεις.
Ο Brendan Dolan-Gavitt, καθηγητής στο NYU Tandon και ερευνητής στην εταιρεία Xbow, αναφέρει ότι τα νέα δεδομένα δείχνουν ρεαλιστικές ανακαλύψεις zero-day ευπαθειών σε μεγάλα κομμάτια κώδικα, μέσω πληθώρας ΤΝ διαδικασιών.
Ο Dolan-Gavitt προβλέπει ότι οι επιθέσεις με zero-day exploits θα αυξηθούν με την πρόοδο της ΤΝ:
«Αυτή τη στιγμή είναι σπάνιες, γιατί ελάχιστοι άνθρωποι έχουν την τεχνογνωσία να τις εντοπίσουν και να δημιουργήσουν exploits. Η ΤΝ θα αλλάξει αυτό το τοπίο».
Ο Hayden Smith, συνιδρυτής της Hunted Labs (startup με εργαλεία ΤΝ για ανάλυση κώδικα), τονίζει ότι η λεγόμενη “agentic AI” έχει ιδιαίτερο ενδιαφέρον για ανακαλύψεις zero-day ευπαθειών. Προσθέτει ότι όσο γίνεται πιο εύκολο για περισσότερους να εντοπίζουν ευπάθειες με ΤΝ, τόσο πιο σημαντικό είναι να εξασφαλίζεται ότι οι αποκαλύψεις γίνονται υπεύθυνα.
Τον Μάιο, η Song και άλλοι ερευνητές μέτρησαν την ικανότητα των ΤΝ μοντέλων να εντοπίζουν ευπάθειες που αποφέρουν οικονομικές ανταμοιβές μέσω bug bounty προγραμμάτων. Τέτοια εργαλεία μπορούν δυνητικά να αποφέρουν δεκάδες χιλιάδες δολάρια. Το Claude Code από την Anthropic ήταν το πιο επιτυχημένο, βρίσκοντας ευπάθειες αξίας 1.350 δολαρίων σε bug bounty πλατφόρμες και προτείνοντας διορθώσεις για προβλήματα αξίας 13.862 δολαρίων, με κόστος μόλις μερικές εκατοντάδες δολάρια σε API κλήσεις.
*Με στοιχεία από το Wired.
➪ Ακολουθήστε το OLAFAQ στο Facebook, Bluesky και Instagram.
