AI
FORRADALOM
Frissítve: 21 perce·Ma: 9
Biztonság
AI által generált szöveg

Az AI felgyorsítja a sebezhetőségek felfedezését, felborítva a szoftverbiztonsági embargókat

A mesterséges intelligencia új kihívások elé állítja a szoftverbiztonsági iparágat, mivel a 'koordinált közzététel' és a 'hibák csak hibák' megközelítések is egyre kevésbé hatékonyak.

Az AI felgyorsítja a sebezhetőségek felfedezését, felborítva a szoftverbiztonsági embargókat
Fotó: Chirayu Trivedi / Unsplash
Forrás: Hacker NewsSzerző: AI Forradalom szerk.
Megosztás

A mesterséges intelligencia (AI) gyökeresen átalakítja a szoftveres sebezhetőségek kezelésének és közzétételének bevett gyakorlatait — állítja Jeff Kaufman blogbejegyzésében. Az AI-alapú eszközök felgyorsítják a hibák felfedezését, ezzel hatástalanná téve a hagyományos, hosszú embargós közzétételi gyakorlatokat és a csendes javítások kultúráját.

Kaufman szerint két fő biztonsági kultúra van veszélyben. Az egyik a „koordinált közzététel”, ahol a hibát felfedező fél privátban értesíti a fejlesztőket, és jellemzően 90 napot ad a javításra, mielőtt nyilvánosságra hozná. A másik a „hibák csak hibák” megközelítés, amely különösen a Linux-közösségben elterjedt, ahol a biztonsági hibákat csendesen, a nyilvános kódbázisban javítják, anélkül, hogy külön felhívnák rájuk a figyelmet.

Az AI felgyorsítja a felfedezést

Az AI fejlődésével a „hibák csak hibák” megközelítés egyre kevésbé működik. A nyilvános kódváltozásokból az AI gyorsan képes azonosítani a biztonsági implikációkat, így a csendes javítások már nem maradnak észrevétlenek. A Copy Fail sebezhetőség esete is ezt mutatja: Hyunwoo Kim a Linuxban a standard eljárás szerint járt el, de valaki más észrevette a változást, felismerte a biztonsági következményeket, és nyilvánosan megosztotta, ezzel feloldva az embargót.

A biztonsági kihívások új korszaka

A hosszú embargók sem jelentenek már védelmet. Korábban, ha valaki felfedezett egy hibát és jelentette a gyártónak, nagy eséllyel senki más nem vette észre azt a 90 napos embargó alatt. Ma azonban számos AI-asszisztált csoport folyamatosan vizsgálja a szoftvereket sebezhetőségek után kutatva. Az ESP sebezhetőség esetében például Kuan-Ting Chen mindössze kilenc órával azután, hogy Kim jelentette a hibát, függetlenül is felfedezte azt.

Kaufman szerint az AI felgyorsíthatja a védelmi oldalt is, lehetővé téve olyan rövid embargókat, amelyek korábban haszontalanok lettek volna. Egy gyors teszt során a Gemini 3.1 Pro, a ChatGPT-Thinking 5.5 és a Claude Opus 4.7 modellek azonnal jól azonosították a biztonsági javítást egy adott commit hash (f4c50a403) alapján — Jeff Kaufman tesztje szerint. A Gemini 3.1 Pro modell 2024. március 10-én mutatta be a legújabb fejlesztéseit.

Megosztás

Tetszik az oldal? Támogasd a fejlesztést

Az AI Forradalom egy automatizált pipeline: napi adatgyűjtés, LLM-feldolgozás és infrastruktúra fenntartása valódi költségekkel jár. Ha értékesnek találod a tömör, naprakész AI-összefoglalókat, egy kávé sokat segít.

Támogatom