„Google Play Protect“ patikrina, ar „Google Play“ parduotuvės programėlėse nėra kenkėjiškų programų. Ji taip pat tikrina trečiųjų šalių programėles, kad apsaugotų nuo virusų „Android“ įrenginiuose, tačiau pasirodo, kad be kenkėjiškų programų platinimo yra ir kitų būdų pavogti vartotojų duomenis.
Pernelyg lengva peikti „Google“ dėl prasto saugumo, kai reguliariai aptinkama pažeidžiamumų tokiuose produktuose kaip „Chrome“ naršyklė arba kai „Gmail“ vartotojai patiria atakas. Tačiau tiesa yra ta, kad „Google“ pirmauja saugumo tyrimų srityje, o daugelį šių pažeidžiamumų randa pačios „Google“ specializuotos komandos.
Pavyzdžiui, kompanijos grėsmių analizės grupės, geriausiai žinomos dėl grėsmių aptikimo pačios „Google“ produktuose, užduotis yra kovoti su vyriausybių remiamais įsilaužimais ir atakomis prieš „Google“ ir jos naudotojus, o „Jigsaw“ padalinys tiria grėsmes atvirai visuomenei.
Tačiau šį sąrašą galima papildyti dar viena saugumo specialistų grupe, kuri puikiai išmano apie dirbtinio intelekto panaudojimą gynybai JAV gigantės komanda „OSS – Fuzz“. Štai, kaip ji atrado 26 naujas atvirojo kodo projektų prižiūrėtojams skirtas pažeidžiamumo vietas, įskaitant vieną iš kritinės „OpenSSL“ bibliotekos, itin svarbios daugumai interneto infrastruktūros, pažeidžiamumų.
Po to, kai „Google“ dirbtinio intelektinio intelekto agentas „Big Sleep“, naudojantis didelės kalbos modelį, aptiko anksčiau nežinomą, atminties saugumo pažeidžiamumą plačiai naudojamoje realioje programinėje įrangoje, kuris, pasak kompanijos, yra pirmasis pasaulyje, buvo aptiktas dar vienas svarbus saugumo atradimas, kuriame dirbtinis intelektas tvirtai sėdi prie vairo.
Kaip praneša saugumo analitikai iš „Google“ atvirojo kodo saugumo grupės, 26 naujai aptiktos spragos yra automatinio pažeidžiamumų nustatymo etapas, nes visos jos buvo rastos naudojant dirbtinį intelektą.
Ataskaitoje teigiama, kad ypač svarbus yra „CVE-2024-9143“ pažeidžiamumas svarbioje „OpenSSL“ bibliotekoje, kuria grindžiama didžioji dalis interneto infrastruktūros, nes, kiek tyrėjai galėjo pasakyti, šis pažeidžiamumas greičiausiai egzistuoja jau du dešimtmečius ir jo nebūtų buvę galima aptikti naudojant esamus žmonių parašytus taikinius.
Pirmą kartą apie dirbtinio intelekto valdomą saugumą pasauliui pranešė „OSS – Fuzz“ komanda 2023 metais rugpjūčio 16 dieną. Tai buvo plataus užmojo projektas, kuriuo siekta panaudoti didelius kalbos modelius, kad būtų galima pagerinti aprėptį ir automatiškai aptikti daugiau pažeidžiamumų. Automatiškai ir, kas labai svarbu, anksčiau, nei jomis galėtų pasinaudoti piktavaliai įsilaužėliai.
„Mūsų metodas buvo pasinaudoti LLM kodavimo gebėjimais, kad sukurtume daugiau taikinių, kurie yra panašūs į vienetų testus, kurie atlieka atitinkamas funkcijas, kad būtų galima ieškoti pažeidžiamumų“, – teigė saugumo komanda.
Galutinis tikslas – visiškai automatizuoti šiuo metu rankiniu būdu atliekamą ir daug laiko reikalaujantį taikinio kūrimo procesą nuo pradžios iki pabaigos. Paprasčiau tariant, „fuzzing“ – tai programinės įrangos testavimo metodas, kuriuo į sistemą automatiškai įvedami negaliojantys arba atsitiktiniai duomenys, siekiant atskleisti saugumo spragas. Nors šis procesas yra automatizuotas, taikinio kūrimas nėra automatizuotas. Štai kur yra dirbtinio intelekto sukurto taikinio projektas.
„Tikimės, kad „OSS – Fuzz“ bus naudingas kitiems tyrėjams, kad jie galėtų įvertinti dirbtinio intelekto valdomų pažeidžiamumų aptikimo idėjas, ir galiausiai, taps priemone, kuri leis ekspertams rasti daugiau pažeidžiamumų prieš juos išnaudojant nusikaltėliams“, – teigė komandos atstovas.
