Pratite ZDNET: Dodajte nas kao željeni izvor na Googleu.
Sadržaj objave
Ključni podaci ZDNET-a za van
- AI se pokazao boljim od očekivanog u pronalaženju starih, nejasnih grešaka.
- Nažalost, AI je također dobra u pronalaženju grešaka koje hakeri mogu iskoristiti.
- Ukratko, umjetna inteligencija još uvijek nije spremna zamijeniti programere ili stručnjake za sigurnost.
U nedavnoj LinkedIn Nakon što je Microsoft Azure CTO Mark Russinovich rekao da je koristio Anthropicov novi AI model Claude Opus 4.6 za čitanje i analizu asemblerskog koda koji je napisao 1986. za Apple II 6502 procesor.
Također: Zašto je umjetna inteligencija i prokletstvo i blagoslov za softver otvorenog koda – prema programerima
Claude nije samo objasnio kod; izvodi ono što je on nazvao a “revizija sigurnosti,” otkrivanje suptilnih logičkih pogrešaka, uključujući jedan slučaj kada rutina nije uspjela provjeriti oznaku prijenosa nakon aritmetičke operacije.
To je klasična buba koja se skrivala, uspavana, desetljećima.
Dobre i loše vijesti
Russinovichev eksperiment je nevjerojatan jer je kod stariji od današnjih jezika, okvira i sigurnosnih popisa. Međutim, umjetna inteligencija je uspjela proučiti nisku razinu kontrolnog toka i CPU zastavice kako bi ukazala na stvarne nedostatke. Za iskusne programere, to je podsjetnik da dugovječne baze kodova još uvijek mogu sadržavati pogreške s kojima su konvencionalni alati i programeri naučili živjeti.
Također: 7 AI tehnika kodiranja koje koristim za isporuku pravih, pouzdanih proizvoda – brzo
Ipak, unatoč napretku, neki stručnjaci vjeruju da ovaj eksperiment izaziva zabrinutost.
Kao što je rekao Matthew Trifiro, iskusni inženjer na tržištu: “O, Bože, vidim li ovo dobro? površina za napad upravo je proširena kako bi uključila svaku kompajliranu binarnu datoteku ikad isporučeno. Kad umjetna inteligencija može ovako dobro obrnuti inženjering 40 godina starih, opskurnih arhitektura, sadašnji pristupi zamagljivanja i sigurnosti kroz nejasnoće u biti su bezvrijedni.”
Trifiro naglašava. S jedne strane, AI će nam pomoći pronaći bugove kako bismo ih mogli popraviti. To je dobra vijest. S druge strane, a evo i loših vijesti, AI također može provaliti u programe koji se još uvijek koriste, a koji više nisu zakrpani ili podržani.
Kao Adedeji Olowe, osnivač Lendsqristaknuo je: “Ovo je strašnije nego što dopuštamo. Milijarde naslijeđenih mikrokontrolera postoje diljem svijeta, a mnogi vjerojatno pokreću krhki ili loše revidirani firmware kao što je ovaj.”
Također: Je li Perplexityjevo novo računalo sigurnija verzija OpenClaw-a? Kako radi
Nastavio je: “Prava implikacija je da loši akteri mogu poslati modele poput Opusa za njima da sustavno pronađu ranjivosti i iskoriste ih, dok se mnogi od tih sustava zapravo ne mogu zakrpiti.”
LLMs koji nadopunjuju detektorske alate
Tradicionalni alati za statičku analizu kao što su SpotBugs, CodeQLi Snykov kod skenirajte izvorni kod za uzorke povezane s greškama i ranjivostima. Ovi alati izvrsni su u hvatanju dobro razumljivih problema, kao što su dereferencije nultog pokazivača, uobičajeni obrasci ubacivanja i zlouporaba API-ja, a to čine u velikom broju kodnih baza Java i drugih jezika.
Sada je postalo jasno da veliki jezični modeli (LLM) mogu nadopuniti te velike detektorske alate. u a U neposrednoj studiji iz 2025. LLM-ovi kao što su GPT-4.1, Mistral Large i DeepSeek V3 bili su jednako dobri kao industrijski standardni statički analizatori u pronalaženju grešaka kroz više projekata otvorenog koda.
Također: ovaj novi Claude Code Review alat koristi AI agente za provjeru bugova u vašim zahtjevima za povlačenje — evo kako
Kako to rade ovi modeli? Umjesto pitanja: “Krši li ova linija pravilo X?”, LLM zapravo pita: “S obzirom na to što bi ovaj sustav trebao raditi, gdje su načini kvara i putevi napada?” U kombinaciji, ovaj pristup je moćan par.
Na primjer, Anthropicov Claude Opus 4.6 AI pomaže u čišćenju Firefoxovog otvorenog koda. Prema Mozilli, Anthropicov tim Frontier Red pronašao je više bugova visoke ozbiljnosti u Firefoxu u samo dva tjedna nego što ljudi obično prijavljuju u dva mjeseca. Mozilla je objavila: “Ovo je jasan dokaz da je analiza velikih razmjera uz pomoć umjetne inteligencije snažan novi dodatak sigurnosti kutija za inženjerski alat.”
Anthropic nije jedina organizacija koja koristi AI motore za pronalaženje grešaka u kodu. Signal crne patke proizvod, na primjer, kombinira više LLM-ova, poslužitelje Model Context Protocol (MCP) i AI agente za autonomnu analizu koda u stvarnom vremenu, otkrivanje ranjivosti i predlaganje popravaka.
Također: Upotrijebio sam Claude Code za vibe kodiranje Mac aplikacije u 8 sati, ali to je bilo više posla nego magije
U međuvremenu, sigurnosna savjetovanja, kao što su NCC grupaeksperimentiraju s dodacima koje pokreće LLM za alate za obrnuto inženjerstvo softvera, kao što su Ghidraza pomoć u otkrivanju sigurnosnih problema, uključujući potencijalna prekoračenja međuspremnika i druge sigurnosne probleme memorije koje je ljudima teško uočiti.
Prolazak sigurnosnih provjera AI
Ovi uspjesi ne znače da smo spremni predati svoje sigurnosne provjere AI-ju. Daleko od toga.
Također: Pokušao sam uštedjeti 1200 dolara besplatnim vibe kodiranjem – i brzo sam požalio
Istraživači su otkrili da pronalaženje bugova vođeno LLM-om nije zamjena za zrele cjevovode statičke analize. Studije koje uspoređuju AI agente za kodiranje s ljudskim programerima pokazuju da iako AI može biti plodan, on također u većoj mjeri uvodi sigurnosne propuste, uključujući nesigurno rukovanje lozinkama i nesigurne reference na objekte.
CodeRabbit otkrili “da postoje neke pogreške koje ljudi češće stvaraju, a neke koje češće stvara umjetna inteligencija. Na primjer, ljudi stvaraju više pogrešaka pri upisu i koda koji je težak za testiranje nego umjetna inteligencija. Ali općenito, AI je stvorio 1,7 puta više bugova nego ljudi.
Alati za generiranje koda obećavaju brzinu, ali zastrašuju pogreške koje uvode. Nisu to samo male greške: AI je stvorio 1,3-1,7 puta više kritičnih i većih problema.”
Također: Uvođenje umjetne inteligencije? 5 sigurnosnih taktika koje vaše poslovanje ne može pogriješiti – i zašto
Također možete pitati Daniela Stenberga, kreatora popularnog programa za prijenos podataka otvorenog koda sklupčati. On se glasno i opravdano žalio da je njegov projekt preplavljen lažna sigurnosna izvješća pisana umjetnom inteligencijom koji održavatelje utapaju u besmislen posao.
Moral priče
AI, u pravim rukama, odličan je pomoćnik, ali nije spreman biti vrhunski programer ili provjeravač sigurnosti. Možda jednog dana, ali ne danas. Dakle, pažljivo koristite AI s postojećim alatima i vaši će programi biti daleko sigurniji nego što su trenutno.
Što se tiče starog koda, pa, to je prava briga. Predviđam da će ljudi zamijeniti uređaje koji se pokreću firmverom zbog realnih strahova da će uskoro biti ugroženi.
Povezani sadržaji
“Već dugo vremena imamo pun tim na Falloutu” – Todd Howard potpiruje vatre Fallouta 5 dok druga TV sezona buja u životu
Qwilt pokriva više od 2.000 rubnih oblačnih čvorova na šest kontinenata
Google potvrđuje novo prosinačko ažuriranje Pixela koje biste trebali odmah instalirati
Pixel 9A pridružuje se zabavi za 7 godina ažuriranja
Istaknite bitan sadržaj web stranica ovim besplatnim online alatima
Arc Raiders već ima servere koje je u dva sata obradilo gotovo 100.000 igrača, dok vikend igranje počinje
