گوگل خبر داده که ابزار هوش مصنوعی جدیدش به اسم «بیگ اسلیپ» (Big Sleep)، تونسته به تنهایی و بدون کمک انسان، ۲۰ ایراد امنیتی پنهان رو توی نرمافزارهای متن باز (open-source) معروف پیدا کنه. این خبر رو هدر ادکینز، که معاون امنیت گوگله، توی یک پست در شبکه اجتماعی ایکس (توییتر سابق) اعلام کرد. این کار بخشی از یه حرکت بزرگتر از سمت گوگله تا از هوش مصنوعی توی تحقیقات امنیت سایبری استفاده کنه.
این ابزار هوش مصنوعی که با همکاری تیمهای «دیپمایند» (DeepMind) و «پروژه صفر» (Project Zero) خود گوگل ساخته شده، تونسته کلی از ابزارهای متن باز رو تحلیل کنه و ایرادهایی رو توی سیستمهایی مثل FFmpeg و ImageMagick پیدا کنه. این دوتا نرمافزار خیلی پرکاربردن و برای کارهای چندرسانهای مثل پردازش فایلهای صوتی، ویدیویی و تصویری استفاده میشن.
بیگ اسلیپ چطوری کار میکنه؟
این سیستم هوش مصنوعی رفتار کاربرهای خرابکار رو شبیهسازی میکنه و کدهای نرمافزار و سرویسهای شبکه رو برای پیدا کردن نقطه ضعف اسکن میکنه. بیگ اسلیپ فقط دنبال آسیبپذیری نمیگرده، بلکه به مرور زمان روشهاش رو تغییر میده و راههای جدیدی برای کشف مشکلات پیچیده یاد میگیره.
نکته جالب اینه که هر ۲۰ ایرادی که پیدا شده، اول به صورت کاملا مستقل توسط خود هوش مصنوعی کشف و بازسازی شدن. بعد از اینکه هوش مصنوعی کارش رو تموم کرد، یک تحلیلگر امنیت انسانی یافتهها رو بررسی و تایید کرده تا مطمئن بشن گزارشها دقیق و کاربردی هستن. بعد از تایید نهایی، گوگل این موارد رو گزارش کرده. به گفته گوگل، هدف از این کار جایگزین کردن محققهای انسانی نیست، بلکه کمک کردن به اونهاست. این سیستم میتونه هزاران سناریوی تستی رو خیلی سریعتر از انسان اجرا کنه و اینطوری تیمهای امنیت سایبری میتونن روی تصمیمهای استراتژیک تمرکز کنن و کارهای روتین تست رو به هوش مصنوعی بسپارن.
جزئیات فنی فعلا مخفیه
گوگل هنوز جزئیات فنی دقیق این آسیبپذیریها، مثل شناسههای CVE یا اثبات مفهومی، رو منتشر نکرده. این یک سیاست استاندارده و گوگل یک فرصت ۹۰ روزه به توسعهدهندههای اون نرمافزارها میده تا قبل از اینکه هکرها از این ایرادها باخبر بشن، اونها رو برطرف کنن. کنت واکر، رئیس امور جهانی گوگل، توی یک پست وبلاگی گفته که «تا نوامبر ۲۰۲۴، بیگ اسلیپ تونست اولین آسیبپذیری امنیتی واقعی خودش رو پیدا کنه که نشون دهنده پتانسیل عظیم هوش مصنوعی برای پر کردن حفرههای امنیتی قبل از آسیب رسوندن به کاربرهاست.» گوگل لیستی کامل از این آسیبپذیریها رو نگه میداره که فعلا شامل همین ۲۰ مورد اوله و اونها رو به سه دسته با تاثیر بالا، متوسط و کم تقسیم کرده.
بحثها و نگرانیهای موجود
با اینکه بیگ اسلیپ تنها ابزار هوش مصنوعی برای پیدا کردن باگ نیست و سیستمهای دیگهای مثل RunSybil و XBOW هم تو این زمینه موفقیتهایی داشتن (مثلا XBOW به صدر جدول پلتفرم جایزهیابِ باگ HackerOne در آمریکا رسیده)، اما هنوز نگرانیهایی وجود داره.
بعضی از توسعهدهندهها از زیاد شدن گزارشهای باگ نادرست که توسط هوش مصنوعی تولید میشن، گله دارن. به این گزارشهای بیکیفیت اصطلاحا «AI slop» یا «نویز هوش مصنوعی» میگن که گاهی شامل خطاهای الکی یا ایرادهای خیالی هستن و میتونن وقت با ارزش توسعهدهندهها رو تلف کنن. همچنین این بحث وجود داره که شاید خود مهاجمها هم در آینده از این تکنولوژیها برای پیدا کردن آسیبپذیریها، قبل از اینکه توسط جامعه امنیت کشف بشن، استفاده کنن.
با این حال، بعضی از متخصصها مثل ولاد یونسکو، یکی از بنیانگذاران RunSybil، پروژه بیگ اسلیپ گوگل رو یک پروژه «جدی» و «معتبر» میدونن. به گفته اون، این پروژه طراحی خوبی داره، آدمهای کاربلدی پشتش هستن (پروژه صفر تجربه پیدا کردن باگ رو داره و دیپمایند هم قدرت محاسباتی و منابع لازم رو داره).
گوگل قصد داره در رویدادهای آینده مثل Black Hat USA و DEF CON 33 یک گزارش فنی کامل ارائه بده و دادههای آموزشی ناشناس شده رو هم به چارچوب هوش مصنوعی امن (Secure AI Framework) اهدا کنه تا بقیه محققها هم بتونن از این تکنولوژی بهرهمند بشن.
منابع
- [۱] Google’s AI tool ‘Big Sleep’ flags 20 security flaws in open-source software without human input – Hindustan Times
- [۲] Google says its AI-based bug hunter found 20 security vulnerabilities | TechCrunch
- [۳] Google’s new AI-powered bug hunting tool finds major issues in open source software | TechRadar
- [۴] Google’s AI Big Sleep discovers 20 security vulnerabilities in open source projects | igor´sLAB
دیدگاهتان را بنویسید