قامت Google DeepMind بنشر وكيل منظمة العفو الدولية الجديدة المصممة للعثور على ثغرات الأمن الأمنية في رمز البرمجيات وإصلاحها بشكل مستقل في رمز البرمجيات. ساهم النظام ، الذي أطلق عليه اسم CodeMender ، بالفعل في 72 إصلاحًا أمنيًا في مشاريع مفتوحة المصدر في الأشهر الستة الماضية.
يعد تحديد نقاط الضعف وترقيعه عملية صعبة للغاية وتستغرق وقتًا طويلاً ، حتى مع مساعدة الأساليب الآلية التقليدية مثل الضباب. أثبتت أبحاث Google Deepmind الخاصة ، بما في ذلك المشاريع المستندة إلى الذكاء الاصطناعى مثل Big Sleep و OSS-Fuzz ، فعاليتها في اكتشاف نقاط الضعف في اليوم الصفر في رمز مُقدّس جيدًا. ومع ذلك ، فإن هذا النجاح يخلق عنق الزجاجة الجديد: حيث أن AI يسرع اكتشاف العيوب ، فإن العبء على المطورين البشريين لإصلاحهم يكثف.
تم تصميم CodeMender لمعالجة هذا الخلل. إنه يعمل كعامل الذكاء الاصطناعي المستقل الذي يتخذ نهجًا شاملاً لإصلاح أمان الكود. إن قدراتها على حد سواء تفاعلية ، مما يتيح لها تصحيح نقاط الضعف المكتشفة حديثًا على الفور ، واستباقية ، مما يتيح لها إعادة كتابة التعليمات البرمجية الحالية للتخلص من فئات كاملة من عيوب الأمان قبل استغلالها. يتيح ذلك للمطورين البشريين ومحامي المشروع تكريس المزيد من وقتهم لبناء الميزات وتحسين وظائف البرمجيات.
يعمل النظام من خلال الاستفادة من إمكانيات التفكير المتقدم لنماذج Gemini Gemini Deep Think الأخيرة من Google. يتيح هذا الأساس للوكيل تصحيح وحل مشكلات أمنية معقدة بدرجة عالية من الحكم الذاتي. لتحقيق ذلك ، تم تجهيز النظام بمجموعة من الأدوات التي تسمح لها بتحليل الكود والسبب قبل تنفيذ أي تغييرات. يتضمن CodeMender أيضًا عملية التحقق لضمان صحة أي تعديلات ولا تقدم مشاكل جديدة ، والمعروفة باسم الانحدارات.
على الرغم من أن نماذج اللغة الكبيرة تتقدم بسرعة ، إلا أن خطأ عندما يتعلق الأمر بأمان الكود يمكن أن يكون له عواقب باهظة الثمن. لذلك فإن إطار التحقق التلقائي من CodeMender ضروري. يتحقق بشكل منهجي من أن أي تغييرات مقترحة تحدد السبب الجذري للمشكلة ، وتصحيح وظيفيًا ، ولا تقطع الاختبارات الحالية ، وتلتزم بإرشادات نمط ترميز المشروع. تظهر تصحيحات عالية الجودة فقط التي تفي بهذه المعايير الصارمة للمراجعة البشرية.
لتعزيز فعالية إصلاح الكود ، طور فريق DeepMind تقنيات جديدة لوكيل الذكاء الاصطناعى. يستخدم CodeMender تحليلًا متقدمًا للبرنامج ، باستخدام مجموعة من الأدوات بما في ذلك التحليل الثابت والديناميكي ، والاختبار التفاضلي ، و fuzzing ، و SMT. تسمح هذه الأدوات بتدقيق أنماط الكود وتدفق التحكم وتدفق البيانات بشكل منهجي لتحديد الأسباب الأساسية لعيوب الأمن والضعف المعماري.
يستخدم النظام أيضًا بنية متعددة الوكلاء ، حيث يتم نشر وكلاء متخصصين لمعالجة جوانب محددة للمشكلة. على سبيل المثال ، تكشف أداة النقد القائمة على نموذج اللغة الكبيرة المخصصة عن الاختلافات بين الكود الأصلي والمعدل. يتيح ذلك للوكيل الأساسي التحقق من أن التغييرات المقترحة لا تضع آثارًا جانبية غير مقصودة وللتصحيح ذاتيًا نهجه عند الضرورة.
في أحد الأمثلة العملية ، عالج CodeMender ضعفًا حيث أشار تقرير تحطم إلى وجود تفاقم مخزن مؤقت للكومة. على الرغم من أن التصحيح النهائي يتطلب فقط تغيير أسطر قليلة من التعليمات البرمجية ، إلا أن السبب الجذري لم يكن واضحًا على الفور. باستخدام أدوات تصحيح الأخطاء والرمز ، حدد الوكيل أن المشكلة الحقيقية كانت مشكلة في إدارة المكدس غير الصحيحة مع عناصر لغة الترميز القابلة للتوسيع (XML) أثناء التحليل ، الواقعة في مكان آخر في قاعدة الكود. في حالة أخرى ، ابتكر الوكيل رقعة غير تافهة لمشكلة حياة كائن معقدة ، وتعديل نظام مخصص لإنشاء رمز C ضمن المشروع المستهدف.
إلى جانب الرد ببساطة على الأخطاء الحالية ، تم تصميم CodeMender لتصلب البرمجيات بشكل استباقي مقابل التهديدات المستقبلية. قام الفريق بنشر الوكيل للتقدم -fbounds سلامة التعليقات التوضيحية لأجزاء من libwebp ، مكتبة ضغط الصور المستخدمة على نطاق واسع. توجه هذه التعليقات التوضيحية إلى المترجم لإضافة عمليات فحص الحدود إلى الكود ، والتي يمكن أن تمنع المهاجم من استغلال تدفق مخزن مؤقت لتنفيذ التعليمات البرمجية التعسفية.
هذا العمل وثيق الصلة بشكل خاص بالنظر إلى أن تعرض السعة المخزن المؤقت للمخزن المؤقت في LIBWEBP ، الذي تم تتبعه كـ CVE-2023-4863 ، تم استخدامه من قبل ممثل التهديد في جهاز iOS بنقرة صفرية يستغلها قبل عدة سنوات. يلاحظ DeepMind أنه مع وجود هذه التعليقات التوضيحية ، فإن هذا الضعف المحدد ، إلى جانب معظم الفائض العازلة الأخرى في الأقسام المشروحة ، كان من شأنه أن يصبح غير قابل للشفاء.
يتضمن إصلاح الرمز الاستباقي لوكيل الذكاء الاصطناعي عملية اتخاذ قرارات متطورة. عند تطبيق التعليقات التوضيحية ، يمكنه تلقائيًا تصحيح أخطاء التجميع الجديدة وفشل الاختبار التي تنشأ عن تغييراتها الخاصة. إذا اكتشفت أدوات التحقق من الصحة أن التعديل قد كسر الوظائف ، فإن التصحيحات الذاتية للوكيل استنادًا إلى التعليقات ويحاول حلًا مختلفًا.
على الرغم من هذه النتائج المبكرة الواعدة ، فإن Google DeepMind تتخذ نهجًا حذرًا ومتعمدًا للنشر ، مع التركيز القوي على الموثوقية. في الوقت الحاضر ، تتم مراجعة كل تصحيح تم إنشاؤه بواسطة CodeMender من قبل الباحثين البشر قبل تقديمه إلى مشروع مفتوح المصدر. يزيد الفريق تدريجياً من عروضه لضمان جودة عالية ودمج ردود الفعل بشكل منهجي من المجتمع مفتوح المصدر.
بالنظر إلى المستقبل ، يخطط الباحثون للوصول إلى مشاريع المشاريع المهمة المفتوحة مع بقع تولدها برامج الترميز. من خلال التكرار على ملاحظات المجتمع ، يأملون في النهاية في إطلاق CodeMender كأداة متاحة للجمهور لجميع مطوري البرامج.
يعتزم فريق DeepMind أيضًا نشر الأوراق والتقارير الفنية في الأشهر المقبلة لتبادل تقنياتها ونتائجها. يمثل هذا العمل الخطوات الأولى في استكشاف إمكانات وكلاء الذكاء الاصطناعى لإصلاح التعليمات البرمجية بشكل استباقي وتعزيز أمان البرامج بشكل أساسي للجميع.
انظر أيضا: يكشف هجوم خصوصية كاميا ما تحفظه نماذج الذكاء الاصطناعي
هل تريد معرفة المزيد عن الذكاء الاصطناعي والبيانات الكبيرة من قادة الصناعة؟ تحقق من AI و Big Data Expo الذي يقام في أمستردام ، كاليفورنيا ، ولندن. يعد الحدث الشامل جزءًا من TechEx ويتم تحديده مع الأحداث التكنولوجية الرائدة الأخرى بما في ذلك معرض Cyber Security Expo ، انقر هنا لمزيد من المعلومات.
AI News مدعومة من قبل Techforge Media. استكشاف أحداث وندوات الويب الأخرى القادمة هنا.