Google DeepMind, yazılım kodunda eleştiri güvenlik açıklarını otonom olarak bulmak ve düzeltmek için tasarlanmış yeni bir AI aracısı kullandı. Uygun bir halde adlandırılan sistem, son altı ay içinde yerleşik açık kaynaklı projelere 72 güvenlik düzeltmesine katkıda bulunmuş oldu.
Güvenlik açıklarını tanımlamak ve yamalamak, bulanıklaştırma benzer biçimde geleneksel otomatik yöntemlerin yardımıyla bile, fena şöhretli zor ve süre alıcı bir süreçtir. Google DeepMind’in Big Sleep ve OSS-Fuzz benzer biçimde AI tabanlı projeler de dahil olmak suretiyle kendi araştırması, iyi değerlendirilmiş kodda yeni sıfır gün güvenlik açıklarını keşfetmede etkili bulunduğunu kanıtladı. Bununla beraber, bu başarı yeni bir darboğaz yaratır: AI kusurların keşfini hızlandırdıkça, insan geliştiricilerin onları düzeltmek için yükü yoğunlaşır.
Codemender bu dengesizliği ele almak için tasarlanmıştır. Kod güvenliğini düzeltmek için kapsamlı bir yaklaşım benimseyen özerk bir AI ajanı olarak işlev görür. Kabiliyetleri hem reaktiftir, yeni keşfedilen güvenlik açıklarını anında yamaya ve proaktiftir, bu da kullanılmadan ilkin tüm güvenlik kusurları sınıflarını ortadan kaldırmak için mevcut kodu tekrardan yazmasını sağlar. Bu, insan geliştiricilerinin ve proje bakımcılarının zamanlarının daha fazlasını özellikler yapmaya ve yazılım işlevselliğini geliştirmeye ayırmalarını sağlar.
Sistem, Google’ın son Gemini Deep Think modellerinin gelişmiş akıl yürütme kabiliyetlerinden yararlanarak çalışır. Bu temel, ajanın karmaşık güvenlik sorunlarını yüksek derecede özerklikle hata ayıklamasına ve çözmesine izin verir. Bunu başarmak için sistem, herhangi bir değişim uygulamadan ilkin kod hakkında çözümleme etmesine ve nedenini oluşturmasına müsaade eden bir takım araçla donatılmıştır. Codemender ek olarak herhangi bir değişim doğru olduğundan güvenilir olmak için bir doğrulama süreci ihtiva eder ve regresyon olarak malum yeni problemler getirmez.
Büyük dil modelleri hızla ilerlerken, bir hata Kod güvenliği söz konusu olduğunda maliyetli sonuçlar olabilir. Codemender’ın otomatik doğrulama çerçevesi bu yüzden gereklidir. Tavsiye edilen değişikliklerin bir probleminin temel nedenini çözdüğünü, işlevsel olarak doğru bulunduğunu, mevcut testleri bozmadığını ve projenin kodlama stili yönergelerine uyduğunu dizgesel olarak denetim eder. İnsan incelemesi için yalnız bu katı kriterleri karşılayan yüksek kaliteli yamalar ortaya çıkıyor.
Kod düzeltme etkinliğini çoğaltmak için, DeepMind ekibi AI ajanı için yeni teknikler geliştirdi. Codemender, statik ve dinamik çözümleme, diferansiyel kontrol, bulanık ve SMT çözücüler benzer biçimde bir takım vasıta kullanan gelişmiş program analizi kullanır. Bu araçlar, güvenlik kusurlarının ve mimari zayıflıkların temel nedenlerini tanımlamak için kod kalıplarını, denetim akışını ve veri akışını dizgesel olarak incelemesine izin verir.
Sistem ek olarak, bir probleminin belirli yönleriyle başa çıkmak için uzmanlaşmış temsilcilerin dağıtıldığı fazlaca gizmen bir mimari kullanır. Mesela, hususi bir büyük dil modeli tabanlı eleştiri aracı, orijinal ve değiştirilmiş kod arasındaki farkları ortaya çıkarır. Bu, birincil ajanın tavsiye edilen değişikliklerin istenmeyen yan etkisinde bırakır getirmediğini ve gerektiğinde yaklaşımını kendi kendini düzeltmesini sağlayamasını sağlar.
Ergonomik bir örnekte, Codemender bir çarpışma raporunun bir yığın arabelleği taşmasını gösterdiği bir güvenlik açığı ele aldı. Son yama yalnız birkaç satır kod değiştirmeyi gerektirse de, temel niçin derhal belirgin değildi. Bir hata ayıklayıcı ve kod arama araçları kullanarak, aracı gerçek probleminin, kod tabanının başka bir yerinde bulunan ayrıştırma esnasında genişletilebilir işaretleme dili (XML) öğeleri ile yanlış bir yığın yönetimi problemi bulunduğunu belirledi. Başka bir durumda, aracı, karmaşık bir nesne ömrü problemi için önemsiz bir yama tasarladı ve hedef proje içinde C kodu oluşturmak için hususi bir sistem değiştirdi.
Yalnız mevcut hatalara tepki vermenin ötesinde, Codemender yazılımı gelecekteki tehditlere karşı proaktif olarak sertleştirmek için tasarlanmıştır. Ekip başvurmak için acenteyi konuşlandırdı -Fubounds-Güvenlik Yaygın olarak kullanılan bir görüntü sıkıştırma kütüphanesi olan libwebp’in bölümlerine ek açıklamalar. Bu ek açıklamalar, derleyiciye koda sınır kontrolleri eklemesini söyler, bu da bir saldırganın tadı kod yürütmek için bir arabellek taşmasından yararlanmasını önleyebilir.
Bu emek verme, CVE-2023-4863 olarak izlenen bir yığın tamponunun taşma güvenlik açığının, birkaç yıl ilkin sıfır tıkaçlı bir iOS istismarında bir tehdit oyuncusu tarafınca kullanıldığı göz önüne alındığında önemlidir. DeepMind, bu ek açıklamalarda, açıklamalı bölümlerdeki öteki tampon taşmalarının yanı sıra belirli güvenlik açığının açıklanamayacağını belirtiyor.
AI aracısının proaktif kod düzeltmesi, karmaşık bir karar verme sürecini ihtiva eder. Ek açıklamalar uygulanırken, yeni derleme hatalarını otomatikman düzeltebilir ve kendi değişikliklerinden meydana gelen kontrol hatalarını kontrol edebilir. Doğrulama araçları, bir modifikasyonun işlevselliği bozduğunu tespit ederse, gizmen geri bildirime gore kendini düzeltir ve değişik bir çözüm dener.
Bu ümit verici erken sonuçlara karşın, Google DeepMind, güvenilirliğe kuvvetli bir halde odaklanarak dağıtım için davranışlarında ölçülü ve kasıtlı bir yaklaşım benimsiyor. Şu anda, Codemender tarafınca üretilen her yama, açık kaynaklı bir projeye sunulmadan ilkin insan araştırmacılar tarafınca gözden geçirilmektedir. Ekip, yüksek kalite sağlamak ve açık kaynaklı topluluktan geri bildirimleri dizgesel olarak dahil etmek için sunumlarını yavaş yavaş artırıyor.
İleriye baktığımızda, araştırmacılar CODEMender tarafınca oluşturulan yamalarla eleştiri açık kaynaklı projelerin bakımcılarına ulaşmayı planlıyorlar. Topluluk geri bildirimlerini yineleyerek, sonunda Codemender’ı tüm yazılım geliştiricileri için halka açık bir vasıta olarak yayınlamayı umuyorlar.
DeepMind ekibi, gelecek aylarda tekniklerini ve neticelerini paylaşmak için teknik makaleler ve raporlar yayınlamayı planlıyor. Bu emek verme, AI ajanlarının proaktif olarak kodu çözme ve hepimiz için yazılım güvenliğini temelden geliştirme potansiyelini araştırmanın ilk adımlarını temsil eder.
Ek olarak bakınız: Toplum Gizlilik Saldırısı AI modellerinin neyi ezberlediğini ortaya koyuyor
Sanayi liderlerinden suni zeka ve büyük veriler hakkında daha çok informasyon edinmek ister misiniz? Çıkış yapmak AI ve Big Data Fuarı Amsterdam, California ve Londra’da gerçekleşiyor. Kapsamlı etkinlik bir parçası Techex ve öteki önde gelen teknoloji etkinlikleriyle beraber bulunuyor. Siber Güvenlik Fuarıtıklamak Burada Daha çok informasyon için.
AI haberleri tarafınca desteklenmektedir Techforge Medya. Yaklaşan öteki kurumsal teknoloji etkinliklerini ve web seminerlerini keşfedin Burada.
