Η Google DeepMind παρουσίασε το CodeMender, ένα νέο AI εργαλείο που υπόσχεται να εντοπίζει και να επιδιορθώνει ευπάθειες λογισμικού πριν αυτές αξιοποιηθούν από κυβερνοεγκληματίες. Το καινοτόμο αυτό σύστημα φιλοδοξεί να λειτουργήσει ως αυτόματος «επισκευαστής» για έργα ανοιχτού κώδικα, μειώνοντας δραστικά τον φόρτο εργασίας των προγραμματιστών που ασχολούνται με την ασφάλεια.
Σύμφωνα με τη DeepMind, το CodeMender μπορεί να εντοπίζει προβλήματα ασφαλείας και να δημιουργεί έτοιμα patches, τα οποία στη συνέχεια αξιολογούνται από ανθρώπους ερευνητές πριν εφαρμοστούν. Η διαδικασία αυτή, όπως υποστηρίζει η εταιρεία, συνδυάζει την ταχύτητα και ακρίβεια της τεχνητής νοημοσύνης με την εμπειρία και κρίση των ειδικών, δημιουργώντας ένα πιο αξιόπιστο μοντέλο ασφάλειας.
Η βάση του CodeMender είναι το Gemini Deep Think, ένα από τα πιο προηγμένα μοντέλα της DeepMind. Το σύστημα χρησιμοποιεί ποικιλία αναλυτικών εργαλείων – από fuzzing και στατική ανάλυση έως differential testing – για να εντοπίσει τις ρίζες των σφαλμάτων στον κώδικα και να αποτρέψει την επανεμφάνισή τους. Με αυτό τον τρόπο, δεν περιορίζεται μόνο στην επιδιόρθωση υπαρχόντων προβλημάτων, αλλά συμβάλλει και στη συνολική θωράκιση του λογισμικού.
Η Raluca Ada Popa, ανώτερη ερευνήτρια στη DeepMind, και ο John Flynn, αντιπρόεδρος ασφαλείας της εταιρείας, αποκάλυψαν πως το εργαλείο έχει ήδη αποδείξει την αποτελεσματικότητά του. «Μέσα στους τελευταίους έξι μήνες που αναπτύσσουμε το CodeMender, έχουμε ήδη υποβάλει 72 διορθώσεις ασφαλείας σε έργα ανοιχτού κώδικα, κάποια από τα οποία περιλαμβάνουν πάνω από 4,5 εκατομμύρια γραμμές κώδικα», ανέφεραν σε σχετική ανάρτηση στο blog της DeepMind.
Ένα από τα πιο ενδιαφέροντα στοιχεία του CodeMender είναι η διπλή του λειτουργία. Μπορεί να δρα αντιδραστικά, επιδιορθώνοντας σφάλματα που έχουν ήδη εντοπιστεί, αλλά και προληπτικά, επαναγράφοντας τμήματα κώδικα ώστε να εξαφανίσει ολόκληρες κατηγορίες ευπαθειών. Παράλληλα, διαθέτει τη δυνατότητα να επικυρώνει τις δικές του διορθώσεις πριν αυτές σταλούν στους ανθρώπινους ελεγκτές, μειώνοντας έτσι σημαντικά τον χρόνο συντήρησης ασφαλείας.
Η Google δίνει ιδιαίτερη έμφαση στο γεγονός ότι το CodeMender δεν προορίζεται να αντικαταστήσει τους ανθρώπους, αλλά να λειτουργήσει ως υποστηρικτικός μηχανισμός. Ο στόχος είναι να ενισχύσει τις ομάδες ασφαλείας, επιτρέποντάς τους να επικεντρωθούν στις πιο κρίσιμες απειλές, ενώ η τεχνητή νοημοσύνη αναλαμβάνει τον εντοπισμό και την αντιμετώπιση των πιο επαναλαμβανόμενων ή τεχνικά απαιτητικών ζητημάτων.
Ένα χαρακτηριστικό παράδειγμα της αποτελεσματικότητάς του είναι η παρέμβασή του στη βιβλιοθήκη συμπίεσης εικόνων libwebp. Το CodeMender εφάρμοσε αυτόματα -fbounds-safety annotations σε τμήματα του κώδικα, διαδικασία που, σύμφωνα με τη DeepMind, θα μπορούσε να είχε αποτρέψει παλαιότερες επιθέσεις. Οι συγκεκριμένες επισημάνσεις υποχρεώνουν τον compiler να ελέγχει τα όρια των buffers, μειώνοντας έτσι τον κίνδυνο επιθέσεων που βασίζονται σε overflow.
Η DeepMind αναγνωρίζει ότι η τεχνητή νοημοσύνη χρησιμοποιείται ολοένα και περισσότερο και από κακόβουλους παράγοντες, κάτι που καθιστά επιτακτική την ανάπτυξη εξίσου εξελιγμένων εργαλείων άμυνας. Το CodeMender, σύμφωνα με την εταιρεία, αποτελεί βήμα προς αυτή την κατεύθυνση, προσφέροντας στους προγραμματιστές ένα «έξυπνο» σύστημα που μπορεί να παρακολουθεί, να εντοπίζει και να επιδιορθώνει τρωτά σημεία με ταχύτητα που δύσκολα θα μπορούσε να επιτύχει ένας άνθρωπος μόνος του.
Στο επόμενο στάδιο, η DeepMind σκοπεύει να επεκτείνει τις δοκιμές του CodeMender σε συνεργασία με διαχειριστές έργων ανοιχτού κώδικα. Εφόσον αποδειχθεί αξιόπιστο, το εργαλείο θα διατεθεί ευρύτερα σε προγραμματιστές και εταιρείες που αναζητούν πιο αυτοματοποιημένες λύσεις ασφάλειας.
Παράλληλα, η Google αναθεώρησε το Secure AI Framework της, ενισχύοντας τα πρότυπα ασφάλειας για εφαρμογές τεχνητής νοημοσύνης, ενώ παρουσίασε και ένα νέο πρόγραμμα επιβράβευσης για τον εντοπισμό ευπαθειών που σχετίζονται με την AI. Με αυτό τον τρόπο, η εταιρεία επιδιώκει να καλλιεργήσει μια πιο ενεργή κουλτούρα ασφάλειας γύρω από την ανάπτυξη έξυπνων συστημάτων.
[via]
