Sztuczna inteligencja coraz częściej wykorzystywana jest nie tylko do generowania treści, ale także do poprawy bezpieczeństwa oprogramowania.
Najnowszy przykład pochodzi od Mozilla Foundation, która poinformowała, że system AI opracowany przez firmę Anthropic pomógł wykryć ponad 100 błędów w przeglądarce Firefox w zaledwie dwa tygodnie.
Co istotne, 14 z nich sklasyfikowano jako luki o wysokim poziomie zagrożenia, które mogły zostać wykorzystane przez cyberprzestępców.
AI w służbie bezpieczeństwa
Współpraca między Mozilla Foundation a Anthropic rozpoczęła się kilka tygodni temu. Zespół bezpieczeństwa AI – znany jako Frontier Red Team – wykorzystał modele z rodziny Claude do analizy kodu przeglądarki.
Szczególną uwagę poświęcono silnikowi JavaScript przeglądarki Mozilla Firefox, który odpowiada za wykonywanie skryptów na stronach internetowych.
To właśnie tam sztuczna inteligencja wykryła największą liczbę potencjalnych problemów.
14 poważnych luk bezpieczeństwa
Łącznie sztuczna inteligencja wykryła:
- 14 poważnych luk bezpieczeństwa,
- którym przypisano 22 identyfikatory CVE,
- oraz około 90 dodatkowych błędów o niższym priorytecie.
Według Mozilli wszystkie wykryte problemy zostały już naprawione w najnowszej wersji przeglądarki – Mozilla Firefox.
Co ważne, system AI nie tylko wskazał potencjalne błędy, ale również generował minimalne przypadki testowe, które pozwalały programistom szybko je odtworzyć i naprawić.
AI kontra tradycyjne metody testowania
Wiele z wykrytych podatności przypominało błędy znajdowane za pomocą techniki znanej jako fuzzing.
Fuzzing polega na automatycznym podawaniu programowi nieoczekiwanych danych wejściowych w celu wywołania awarii lub nieprawidłowego działania.
Według Mozilli system AI poszedł jednak o krok dalej.
Algorytm był w stanie znaleźć również błędy logiczne, których klasyczne metody fuzzingu często nie wykrywają.
Nie wszystkie projekty open source chcą AI
Ciekawostką jest fakt, że wiele projektów open source zmaga się z problemem niskiej jakości zgłoszeń generowanych przez AI.
Niektóre społeczności – np. twórcy biblioteki sieciowej curl – zaczęły nawet blokować zgłoszenia błędów przygotowane przez sztuczną inteligencję. Powodem była fala niezweryfikowanych raportów wysyłanych przez osoby próbujące zdobyć nagrody w programach bug bounty.
Mozilla podkreśla jednak, że podejście firmy Anthropic różni się od takich przypadków, ponieważ analiza była prowadzona w kontrolowany sposób przez wyspecjalizowany zespół bezpieczeństwa.
AI może zmienić sposób wykrywania luk
Po pozytywnych wynikach testów Mozilla Foundation planuje włączyć analizę wspieraną przez AI do standardowego procesu rozwoju i audytu bezpieczeństwa przeglądarki.
Jeśli metoda okaże się skalowalna, może pomóc wykrywać duże liczby błędów, które dotychczas pozostawały niewidoczne dla tradycyjnych narzędzi.
To kolejny przykład, że sztuczna inteligencja w cyberbezpieczeństwie działa w dwóch kierunkach – może przyspieszać zarówno atak, jak i obronę systemów informatycznych.
Foto: Gerd Altmann z Pixabay.