Shfaqja e inteligjenca artificiale si një mjet për sigurinë kibernetike Mozilla sapo ka bërë një hap të rëndësishëm përpara me bashkëpunimin midis Mozilla-s dhe Anthropic në Firefox. Vetëm brenda disa javësh, një model i inteligjencës artificiale ka qenë në gjendje të gjejë një numër dobësish në shfletuesin me burim të hapur të Mozilla-s që normalisht do të kërkonin muaj të tërë pune të specializuar njerëzore.
Ky eksperiment, me një ndikim të drejtpërdrejtë në Përdoruesit e Firefox në Spanjë dhe pjesën tjetër të EvropësKa shërbyer për të matur se sa larg mund të shkojnë modelet gjuhësore sot kur bëhet fjalë për auditimin e kodit real dhe çfarë roli mund të luajnë ato në mbrojtjen e softuerit të përdorur nga qindra miliona njerëz çdo ditë.
Kur IA bëhet auditori më i mirë i sigurisë
Në sigurinë e softuerëve, gjetja e një dobësie përpara se ta bëjnë sulmuesit është thelbësore: kjo mund të bëjë diferencën midis... mbrojnë miliona përdorues ose ekspozojnë të dhënat e tyreNë këtë kontekst, Mozilla ka testuar një qasje të pazakontë: duke lejuar një inteligjencë artificiale të përparuar të rishikojë kodin burimor të shfletuesit të saj për të gjetur dobësi përpara se ta bëjnë këtë studiuesit ose kriminelët kibernetikë.
Disa javë para lançimit të Firefox 148Ekipi i sigurisë së shfletuesit mori një raport tronditës: Ekipi Antropik i Kufirit të Kuq —grupi i kërkimit ofensiv të brendshëm i kompanisë— pretendoi se kishte zbuluar, me ndihmën e modelit të saj Claude, më shumë se një duzinë gabimesh sigurie të verifikueshme në motorin JavaScript të Firefox-it. Këto nuk ishin thjesht dyshime, por gabime të mbështetura nga prova konkrete.
Ajo që e dallonte nga përpjekjet e tjera për të përdorur inteligjencën artificiale në këtë fushë ishte cilësia e raportimit. Çdo dobësi mbështetej nga rastet minimale të riprodhueshme të testimitKëto ishin fragmente të vogla kodi të afta për të shkaktuar dobësinë në mënyrë deterministe. Kjo u lejoi inxhinierëve të Mozilla-s të verifikonin brenda disa orësh nëse problemi ekzistonte vërtet dhe të fillonin punën me patch-et pa humbur kohë duke riprodhuar skenarë të paqartë.
Në një ekosistem ku shumë alarme të gjeneruara nga mjete të automatizuara përfundojnë në plehra për shkak se janë pozitive të rreme ose raporte të pasaktaQasja e Anthropic uli në mënyrë drastike zhurmën dhe dha një sinjal të dobishëm: më pak volum, por gjetje të validuara dhe të zbatueshme.
Çfarë është Ekipi Frontier Red i Anthropic dhe si funksionon me Claude?
Thirrja Ekipi i Kufirit të Kuq Është njësia e Anthropic e dedikuar për të eksploruar kufijtë e modeleve të saj të inteligjencës artificiale në sigurinë ofensive dhe mbrojtëse. Qëllimi i saj nuk është vetëm të vlerësojë rreziqet e brendshme brenda modeleve, por edhe të hetojë Si mund të përdoret inteligjenca artificiale për të gjetur dobësi në softuerë të vërtetë? përpara se ta bëjnë aktorët keqdashës.
Në muajt e fundit, ky ekip ka treguar se modele si Klod Opus 4.6 mund të vrapojë sulme shumëfazore në rrjete komplekse në mjedise të kontrolluaraKjo jep një ide mbi aftësitë e tyre analitike. E njëjta fuqi është ridrejtuar, në një mënyrë të koordinuar dhe të përgjegjshme, në shqyrtimin e projekteve me burim të hapur si Firefox sipas proceseve të përgjegjshme të zbulimit të dobësive.
Në rastin specifik të shfletuesit Mozilla, Anthropic filloi me një ushtrim testimi: duke përdorur Claude për të riprodhoni dobësitë historike të Firefox-it (CVE)Ne kontrolluam nëse modeli ishte në gjendje të njihte modelet e gabimeve të dokumentuara tashmë në versionet më të vjetra të kodit. Rezultati ishte pozitiv, megjithëse me një paralajmërim të qartë: disa nga ato informacione mund të jenë në të dhënat e trajnimit të modelit.
Për të shkuar më tej, Ekipi i Kufirit të Kuq bëri hapin drejt pjesës interesante: duke i kërkuar IA-së të gjente dobësi të reja në versionin aktual të Firefox-itDomethënë, gabime që nuk ishin listuar ende në ndonjë bazë të dhënash publike ose në sistemet e brendshme të gjurmimit të Mozilla-s.
Si u zbuluan dobësitë në motorin JavaScript të Firefox-it
Pika fillestare ishte motori JavaScript i shfletuesit, një komponent kritik sepse është përgjegjës për ekzekutoni kod të jashtëm jo të besueshëm nga faqet e internetitÇdo gabim në këtë shtresë, në rastin më të keq, mund të bëhet një portë hyrëse për të sulmuar sistemin e përdoruesit.
Siç e kanë shpjeguar Anthropic dhe Mozilla, Klodi gjeti dobësinë e tij të parë kritike pas rreth njëzet minutash. që nga fillimi i analizës. Ishte një dështim i tipit përdorimi-pas-falas, një kategori e cenueshmërisë së kujtesës që mund t'i lejojë një sulmuesi të mbishkruajë të dhënat me përmbajtje arbitrare nëse është e lidhur me dobësi të tjera të sistemit.
Ndërsa inxhinierët e Anthropic e vërtetuan këtë alarm fillestar në një makinë virtuale me versionin më të fundit të shfletuesit, inteligjenca artificiale vazhdoi të punonte paralelisht. Gjatë asaj kohe, modeli tashmë kishte sinjalizuar afërsisht 50 të dhëna shtesë me sjellje anomale, shumë prej tyre më vonë u shndërruan në raste prove që iu dërguan Mozilla-s.
Procesi nuk ishte i kufizuar vetëm në motorin JavaScript. Gjatë afërsisht dy javësh, Claude analizoi pothuajse 6.000 skedarë C++ dhe mijëra skedarë shtesë projektiduke gjeneruar 112 raporte unike. Nga ai grup, pas klasifikimit nga ekipi i sigurisë së Mozilla-s, u konfirmuan raportet e mëposhtme 22 dobësi të regjistruara si CVE, nga të cilat 14 u klasifikuan si me ashpërsi të lartë, përveç gati 90 dështimeve të tjera që konsiderohen se kanë më pak ndikim ose thjesht gabime logjike.
Të gjitha problemet e identifikuara të sigurisë u rregulluan në ciklin e zhvillimit të Firefox 148.Ky version është tani i disponueshëm për përdoruesit në Evropë dhe në pjesën tjetër të botës. Janë korrigjuar edhe gabimet me përparësi më të ulët, megjithëse disa rregullime janë rezervuar për versionet e mëvonshme për të shmangur futjen e shumë ndryshimeve në një version të vetëm.
Më shumë se 100 gabime të zbuluara dhe më pak pozitive të rreme sesa IA-të e tjera
Gjatë gjithë këtij bashkëpunimi, analiza e Claude dha rezultate Më shumë se 100 gabime të ndryshme në FirefoxEdhe pse jo të gjitha rezultuan të ishin dobësi të shfrytëzueshme, vëllimi ilustron se edhe projektet e pjekura dhe të audituara si shfletuesi Mozilla mund të fshehin ende një numër të konsiderueshëm gabimesh.
Për të dhënë një ide mbi ndikimin, ekipi i sigurisë i Mozilla-s shpjegoi se, vetëm në këto dy javë testimi, inteligjenca artificiale ishte në gjendje të Identifikoni një numër të metash me ashpërsi të lartë ekuivalente me afërsisht 20% të të gjitha dobësive kritike të riparuara në shfletues gjatë një viti.Me fjalë të tjera, auditimi i asistuar nga inteligjenca artificiale u përqendrua në ditë, një detyrë që zakonisht shpërndahet gjatë shumë muajve.
Një aspekt kyç ishte shkalla e rezultateve të rreme pozitive. Shumë projekte me burim të hapur, përfshirë ato në Evropë, kanë marrë rezultate të rreme pozitive vitet e fundit. valë raportesh të gjeneruara nga mjete të inteligjencës artificiale me cilësi të ulëtKëto raporte shpesh paraqiten nga përdoruesit që kërkojnë shpërblime përmes programeve të shpërblimeve për defekte. Ato i mbingarkojnë mirëmbajtësit me probleme që nuk ekzistojnë ose që përshkruhen dobët.
Mozilla, e vetëdijshme për këtë situatë, fillimisht ishte e kujdesshme në lidhje me bashkëpunimin. Megjithatë, qasja e Ekipit Frontier Red doli të ishte e ndryshme: Vetëm ato vendime të shoqëruara me prova të forta u paraqitën për shqyrtim., me riprodhime të qarta automatike dhe, në disa raste, propozime për patch-e kandidate të gjeneruara nga vetë IA dhe të shqyrtuara nga njerëzit.
Inxhinierët e Mozilla-s kanë nxjerrë në pah tre elementë që i konsiderojnë thelbësorë për t'u besuar raporteve të bazuara në inteligjencën artificiale: raste minimale testimi, prova të hollësishme të konceptit dhe patch-e të sugjeruaraKy kombinim e zvogëlon në mënyrë drastike kohën e nevojshme për të konfirmuar nëse një gjetje meriton vëmendje të menjëhershme apo mund të shtyhet.
A mund të shfrytëzojë inteligjenca artificiale dobësitë që zbulon?
Një nga pikat më delikate të eksperimentit ishte të zbulohej nëse Claude ishte i aftë jo vetëm për të gjeni dobësipor edhe për t'i shndërruar ato në shfrytëzime funksionaleKjo do të thotë, në sulme të afta për të kryer veprime dashakeqe në një sistem të synuar.
Anthropic vendosi ta matë këtë aftësi në një mjedis të kontrolluar. Ekipi i dha modelit informacion në lidhje me dobësitë e raportuara tashmë te Mozilla dhe i kërkoi asaj të gjeneronte kod shfrytëzimi me qëllim që lexoni dhe shkruani një skedar lokal në një makinë testimi, një veprim që në një skenar real do të përbënte një kompromentim serioz të sistemit.
Për ta arritur këtë, u kryen disa qindra ekzekutime të ndara dhe u investua rreth [shuma që mungon]. 4.000 dollarë në kredite APIRezultati ishte i nuancuar: Claude arriti vetëm të prodhonte Dy shfrytëzime të thjeshta që do të funksiononinE megjithatë, vetëm në një mjedis ku disa mbrojtje të pranishme në shfletuesit modernë, të tilla si sandbox dhe mbrojtje të tjera të forcimit, ishin çaktivizuar qëllimisht.
Mozilla thekson se, në kushte reale, kompromentimi i Firefox zakonisht kërkon duke lidhur së bashku dobësi të shumta dhe duke anashkaluar shtresa të shumëfishta mbrojtjejeGjetja e një dobësie të vetme, madje edhe e një dobësie me ashpërsi të lartë, rrallë është e mjaftueshme për të marrë kontrollin e sistemit të përdoruesit, gjë që aktualisht kufizon potencialin e drejtpërdrejtë ofensiv të këtyre mjeteve.
Megjithatë, Anthropic e konsideron të rëndësishme që një model gjuhësor është i aftë, edhe nëse vetëm në disa raste dhe në kushte të reduktuara, të gjeneroni automatikisht një shfrytëzim për një shfletues modernKompania paralajmëron se ky hendek - ndryshimi midis zbulimit dhe shfrytëzimit - mund të ngushtohet ndërsa modelet dhe metodat e vlerësimit vazhdojnë të përmirësohen.
Mozilla integron inteligjencën artificiale në protokollet e saj të sigurisë
Pas suksesit të bashkëpunimit, Mozilla ka konfirmuar se do të integrojë analizën e asistuar nga inteligjenca artificiale në rrjedhën e saj të rregullt të punës së sigurisë. për Firefox. Ekipet e fondacionit kanë filluar tashmë të eksperimentojnë në mënyrë të brendshme me Claude për klasifikimin e defekteve, shqyrtimin e patch-eve dhe zbulimin e modeleve të dobësive në zonat kritike të kodit.
Organizata, me një prani të fortë përdoruesish dhe zhvilluesish në Evropë, e sheh këtë teknologji si një mënyrë për të forconi mbrojtjen e privatësisë dhe sigurisëKëto janë shtylla që formojnë pjesë të identitetit të projektit Firefox. Si një shfletues me burim të hapur, baza e kodit të tij është e disponueshme si për studiues të pavarur ashtu edhe për agjentë të automatizuar, siç është inteligjenca artificiale e vetë Anthropic, për t'u audituar.
Për Mozilla-n, çelësi do të jetë mirëmbajtja e një ekuilibri midis automatizimit dhe rishikimit njerëzorEdhe pse modelet e inteligjencës artificiale mund të përshpejtojnë zbulimin e defekteve dhe të propozojnë rregullime, fondacioni këmbëngul që çdo përditësim - qoftë nga një person apo një makinë - duhet t'i nënshtrohet të njëjtit nivel shqyrtimi teknik përpara se të integrohet në shfletuesin e përdorur nga qytetarët e Evropës dhe pjesës tjetër të botës.
Kjo përvojë ka ofruar gjithashtu një udhëzues praktik për projekte të tjera softuerësh, duke përfshirë ato të zhvilluara në Spanjë ose brenda Bashkimit Evropian: nëse raportet e bazuara në inteligjencën artificiale do të pranohen, këshillohet të kërkohet prova të qarta të riprodhueshmërisë dhe të krijojnë kanale specifike për këtë lloj zbulimi, duke shmangur mbingarkesën e sistemeve tradicionale të ndjekjes së gabimeve.
Mësime për zhvilluesit dhe kompanitë e teknologjisë në Evropë
Përtej tërbimit mediatik që rrethon Firefox-in, bashkëpunimi midis Anthropic dhe Mozilla-s jep një numër përfundimesh relevante për startup-e, ndërmarrje të vogla dhe të mesme të teknologjisë dhe kompani të mëdha evropiane që zhvillojnë softuerin ose shërbimet e tyre dixhitale.
Një nga më të qartat është se Auditimi i kodit i asistuar nga inteligjenca artificiale është bërë ekonomikisht i qëndrueshëmAjo që më parë do të kërkonte një ekip specialistësh që punonin me javë të tëra, tani mund të ketë një kontroll fillestar të automatizuar brenda pak orësh ose ditësh, me një kosto shumë më të ulët sesa një shqyrtim i plotë manual.
Një mësim tjetër është se Shpejtësia e zbulimit fillon të tejkalojë kapacitetin e korrigjimit njerëzorMjete si Claude mund të gjejnë shpejt dhjetëra dobësi të mundshme, por pengesa bëhet aftësia e ekipeve të brendshme për të vërtetuar, përcaktuar përparësitë dhe për të rregulluar ato probleme pa dëmtuar pjesë të tjera të sistemit.
Është gjithashtu e qartë se Burimi i hapur nuk është sinonim i sigurisë së garantuarMegjithatë, ofron një avantazh të rëndësishëm: transparencën. Projekte si Firefox, shumë të njohura në Evropë për fokusin e tyre në privatësi, lejojnë si komunitetin ashtu edhe agjentët e automatizuar të rishikojnë vazhdimisht kodin, diçka e pamundur në zgjidhjet e mbyllura.
Për shumë organizata, integrimi i IA-së në procesin e zhvillimit - për shembull, duke përfshirë analizat e automatizuara në fazat CI/CD - mund të bëhet një... faktor dallues kur demonstrohet pajtueshmëria rregullatoreKjo po bëhet gjithnjë e më e rëndësishme me zbatimin e ardhshëm të standardeve evropiane mbi sigurinë kibernetike dhe softuerët kritikë.
Në të njëjtën kohë, rasti shërben si një kujtesë se sulmuesit gjithashtu kanë qasje në teknologji të ngjashme. Avantazhi aktual duket se është në anën e mbrojtjes.IA është më e mirë në gjetjen dhe ndihmën për korrigjimin e të metave sesa në shfrytëzimin e tyre, por askush nuk e merr si të mirëqenë që ky avantazh do të zgjasë për shumë vite.
Në këtë skenar, menaxherët e sigurisë në kompanitë evropiane - nga bankat te platformat e tregtisë elektronike ose shërbimet dixhitale - po fillojnë t'i shohin këto mjete jo si një shtesë eksperimentale, por si një pjesë tjetër e strategjisë së tyre të mbrojtjes së softuerëve.
Debakli i Firefox dhe Anthropic demonstrojnë se si një model i inteligjencës artificiale i udhëhequr mirë dhe i mbikëqyrur mund të veprojë si një auditor sigurie i nivelit të lartë: ai mund të shqyrtojë baza të mëdha kodesh, të zbulojë gabime komplekse dhe të propozojë zgjidhje shumë shpejt. Në të njëjtën kohë, e bën të qartë se vendimi përfundimtar mbetet ende te ekipet njerëzore, të cilët duhet të vendosin se çfarë të përditësojnë, si dhe me cilat prioritete, në një peizazh ku ritmi i evolucionit të softuerëve dhe kërcënimeve vazhdon të përshpejtohet.
