دیدگاه‌ خود را بنویسید / اخبار / 3 دقیقه برای مطالعه

گزارش نخستین آسیب‌پذیری‌ها توسط شکارچی حشرات امنیتی مبتنی بر هوش مصنوعی گوگل

در تازه‌ترین اعلام خبر، هدر آدکینز، معاون امنیت گوگل، روز دوشنبه از موفقیت پروژه LLM (مدل‌های زبانی بزرگ) به نام «بیگ اسلیپ» در شناسایی آسیب‌پذیری‌های امنیتی خبر داد. این سیستم هوش مصنوعی موفق به شناسایی و گزارش ۲۰ نقص‌ در نرم‌افزارهای متن‌باز محبوب از جمله کتابخانه صوتی و تصویری FFmpeg و مجموعه ویرایش تصاویر ImageMagick شده است.

آدکینز تأکید کرد که بیگ اسلیپ که توسط بخش هوش مصنوعی شرکت دیپ‌مندیند و تیم متخصص هکرهای پروژه صفر توسعه یافته، نخستین بار چنین آسیب‌پذیری‌هایی را گزارش کرده است. به‌دلیل اینکه این نقص‌ها هنوز رفع نشده‌اند، جزئیات مربوط به تأثیر و شدت آن‌ها در دسترس نیست و گوگل به‌طور استاندارد برای حفظ امنیت، تمایلی به انتشار این اطلاعات قبل از رفع اشکالات ندارد.

کیمبرلی سامرا، سخنگوی Google، در این رابطه گفت: «برای اطمینان از کیفیت بالای گزارش‌ها، یک کارشناس انسانی در فرآیند شناسایی وجود دارد، اما هر آسیب‌پذیری توسط عامل هوش مصنوعی بدون دخالت انسان شناسایی و تولید شده است.» رویال هانسون، معاون ارشد مهندسی گوگل، در توییتی اشاره کرد که یافته‌های این پروژه نشانگر «مرز جدیدی در کشف خودکار آسیب‌پذیری‌ها» است.

امروزه ابزارهای مبتنی بر LLM که می‌توانند به جستجو و شناسایی آسیب‌پذیری‌ها بپردازند، به واقعیتی تبدیل شده‌اند. به‌جز بیگ اسلیپ، پروژه‌های دیگری مانند RunSybil و XBOW نیز در حال فعالیت هستند. XBOW اخیراً موفق به کسب عنوان اول در یکی از برترین پلتفرم‌های پاداش حفره‌های امنیتی در ایالات متحده، یعنی HackerOne، شده است.

نکته قابل توجه این است که در اکثر موارد، این گزارش‌ها شامل یک کارشناس انسانی هستند تا تأیید کنند که شکارچی حشرات امنیتی مبتنی بر هوش مصنوعی یک آسیب‌پذیری معتبر یافته است، همان‌طور که در مورد بیگ اسلیپ نیز این‌چنین بوده است. ولاد ایونسکو، یکی از بنیان‌گذاران و مدیر فناوری استارتاپ RunSybil، در گفت‌وگویی اظهار داشت که بیگ اسلیپ یک پروژه «معتبر» است و طراحی مناسبی دارد و تیم پشت آن التزام و دانش کافی را برای شناسایی دقیق آسیب‌پذیری‌ها دارد.

هرچند این ابزارها نویدبخش آینده‌ای روشن در زمینه امنیت سایبری هستند، اما معایب قابل توجهی نیز دارند. بسیاری از افرادی که پروژه‌های نرم‌افزاری متفاوتی را مدیریت می‌کنند، به نقص‌های گزارش‌شده که واقعاً بی‌معنی و غیرواقعی هستند، اعتراض کرده‌اند و برخی از این گزارش‌ها را معادل زباله‌های هوش مصنوعی در زمینه شکار حفره‌های امنیتی می‌دانند. ایونسکو پیشتر به TechCrunch گفته بود: «این مسئله‌ای است که افراد با آن مواجه هستند؛ ما با بسیاری از گزارش‌هایی روبرو می‌شویم که به‌نظر طلا می‌آیند، اما در واقع فقط زباله‌اند.»

به نظر می‌رسد که ابزارهای هوش مصنوعی مانند بیگ اسلیپ می‌توانند به تحولی در حوزه شناسایی آسیب‌پذیری‌ها منجر شوند، اما همچنان نیاز به دقت و اعتبارسنجی انسانی در این فرآیند احساس می‌شود.

تبدیل گفتار به نوشتار فارسی

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اسکرول به بالا