تعاونت Google مع DeepMind لاكتشاف وإصلاح ثغرة أمنية في الذاكرة في قاعدة بيانات SQLite بنجاح باستخدام نموذج الذكاء الاصطناعي "Big Sleep". هذه مشكلة نقص سعة المخزن المؤقت للمكدس والتي فشل اختبار الزغب التقليدي في العثور عليها، لكن Big Sleep اكتشفها بنجاح. هذه هي المرة الأولى التي يكتشف فيها الذكاء الاصطناعي نقاط الضعف المعروفة في برمجيات العالم الحقيقي، مما يوفر إمكانيات جديدة في مجال أمن البرمجيات ويبشر باتجاه التطوير المستقبلي للكشف عن أمان البرمجيات بمساعدة الذكاء الاصطناعي. سيشرح محرر Downcodes هذا التقدم المذهل بالتفصيل.
SQLite هو محرك قاعدة بيانات مفتوح المصدر، وقد تسمح هذه الثغرة الأمنية للمهاجم بالتسبب في تعطل تنفيذ SQLite أو حتى تنفيذ تعليمات برمجية عشوائية من خلال قاعدة بيانات تم إنشاؤها بشكل ضار أو حقن SQL. على وجه التحديد، تنبع المشكلة من استخدام القيمة السحرية -1 عن طريق الخطأ كفهرس مصفوفة، وعلى الرغم من وجود تأكيد () في الكود لاكتشاف هذه المشكلة، إلا أنه في إصدارات الإصدار، ستتم إزالة فحص مستوى التصحيح هذا.
وأشارت جوجل إلى أن استغلال هذه الثغرة الأمنية ليس بالأمر السهل، ولكن الأهم من ذلك أن هذه هي المرة الأولى التي يكتشف فيها الذكاء الاصطناعي ثغرة أمنية معروفة في برامج العالم الحقيقي. وفقًا لشركة Google، فشلت طرق التشويش التقليدية في العثور على المشكلة، لكن Big Sleep فعلت ذلك. وبعد تحليل سلسلة من الالتزامات في الكود المصدري للمشروع، قامت Big Sleep بإغلاق الثغرة الأمنية في أوائل أكتوبر، وتم إصلاحها في نفس اليوم.
وقالت جوجل في إعلان يوم 1 نوفمبر إن نتيجة البحث هذه لديها إمكانات هائلة في مجال الدفاع. وعلى الرغم من أن اختبار Fuzz حقق نتائج مهمة، إلا أن فريق Google يعتقد أن هناك حاجة إلى طريقة جديدة لمساعدة المطورين على اكتشاف نقاط الضعف التي يصعب العثور عليها من خلال اختبار Fuzz، وهم مليئون بالتوقعات بشأن قدرات الذكاء الاصطناعي في هذا الصدد.
قبل ذلك، أطلقت شركة Protect AI ومقرها سياتل أيضًا أداة مفتوحة المصدر تسمى Vulnhuntr، مدعية أنها يمكنها استخدام نموذج Anthropic's Claude AI للعثور على ثغرات يوم الصفر في قواعد كود Python. ومع ذلك، أكد فريق جوجل أن الأداتين تخدمان أغراضًا مختلفة وأن Big Sleep اكتشف ثغرات أمنية تتعلق بسلامة الذاكرة.
حاليًا، لا يزال برنامج Big Sleep في مرحلة البحث وتم اختباره بشكل أساسي على برامج صغيرة ذات نقاط ضعف معروفة. هذه هي المرة الأولى التي يتم فيها اختباره في بيئة حقيقية. للاختبار، قام فريق البحث بجمع العديد من الالتزامات الأخيرة لقاعدة تعليمات SQLite البرمجية، وبعد التحليل، قام بتعديل المحتوى الفوري للنموذج، واكتشف أخيرًا الثغرة الأمنية.
وعلى الرغم من هذا الإنجاز، يذكر فريق جوجل الجميع بأن هذه النتائج لا تزال تجريبية إلى حد كبير وأن اختبار الضبابية الحالي الخاص بالهدف قد يكون فعالاً بنفس القدر في اكتشاف نقاط الضعف.
يوفر التقدم المذهل الذي حققه نموذج الذكاء الاصطناعي Big Sleep من Google في مجال أمان البرامج أفكارًا وطرقًا جديدة للكشف عن أمان البرامج في المستقبل. وعلى الرغم من أنها لا تزال في المرحلة التجريبية، إلا أن إمكاناتها هائلة وتستحق التطلع إليها. سيستمر محرر Downcodes في الاهتمام بتطوير هذا المجال وسيقدم لك المزيد من التقارير المثيرة.