هوش مصنوعی گوگل با نام «بیگ اسلیپ» (Big Sleep) برای اولینبار موفق به کشف و گزارش بیست آسیبپذیری در نرمافزارهای متنباز شد. این دستاورد، نقطهی عطفی در خودکارسازی یافتن رخنههای امنیتی بهشمار میآید و نشان میدهد مدلهای زبانی بزرگ (LLM) میتوانند به ابزارهای کارآمدی در حوزه امنیت سایبری بدل شوند.
گوگل، از خلال همکاری میان تیم دیرمان (DeepMind) و پروژهی صفر (Project Zero)، با یکپارچهسازی هوش مصنوعی و تجربهی کارشناسان امنیتی خود، روندی نوین در کشف خودکار آسیبپذیریها بهراه انداخته است. اکنون این روش، علاوه بر افزایش سرعت، قابلیت تولید گزارشهای باکیفیت و قابل اتکا را نیز دارد.
کشف نخستین آسیبپذیریها توسط بیگ اسلیپ
Big Sleep در بازهای کوتاه، ۲۰ رخنه در کتابخانههای محبوب متنباز را شناسایی کرد. بیشتر این ضعفها در ابزارهایی مانند FFmpeg و ImageMagick یافت شدند که در زمینهی پردازش و ویرایش تصاویر و ویدئو کاربرد دارند.
مشارکت DeepMind و Project Zero
توسعه و آموزش بیگ اسلیپ با همکاری دو واحد تخصصی گوگل انجام گرفت:
-
DeepMind: مسئولیت قدرت محاسبات و ساختار مدل
-
Project Zero: تکیه بر تجربهی بینظیر در کشف آسیبپذیریهای روزصفر
این ترکیب، موجب شده هوش مصنوعی در کنار متخصصان امنیت، عملکردی قابلاطمینان ارائه دهد.
نقش انسان در حلقهی گزارشدهی
اگرچه بیگ اسلیپ بهصورت خودکار آسیبپذیریها را تشخیص و بازتولید میکند، یک خبرهی امنیتی تمامی یافتهها را پیش از انتشار نهایی تأیید مینماید. این رویکرد، کیفیت و عملیاتیبودن گزارشها را تضمین میکند.
جایگاه بیگ اسلیپ در میان رقبا
ابزارهایی مانند RunSybil و XBOW نیز در همین حوزه فعال هستند. XBOW اخیراً در پلتفرم HackerOne بهصدر جدول برترین گزارشدهندگان آسیبپذیری صعود کرده است. اما ارزیابیها نشان میدهد بیگ اسلیپ با پشتیبانی Project Zero و منابع DeepMind رقیب سرسختی است.
نگرانیها و معایب
برخی توسعهدهندگان متنباز از گزارشهای نادرست یا توهمی (hallucination) شکایت دارند و آن را «اشتباهات AI» مینامند. این نقدها به ضرورت بهبود دقت و کاهش نرخ خطا در ابزارهای خودکار اشاره دارند.
نرمافزارهای متنباز آسیبپذیر
| نرمافزار | کاربرد |
|---|---|
| FFmpeg | کتابخانهی صوتی و تصویری |
| ImageMagick | مجموعه ابزار ویرایش تصویر |
با توجه به روند فعلی توسعه ابزارهای LLM، انتظار میرود در آیندهای نزدیک:
-
افزایش دقت مدلها: با بهبود الگوریتمها و افزایش دادههای آموزشی، نرخ گزارشهای ناصحیح کاهش خواهد یافت.
-
گسترش حوزه کاربرد: کشف آسیبپذیری در سیستمهای غیرمتنباز و زیرساختهای ابری نیز به مرحلهی آزمایشی وارد میشود.
-
یکپارچگی با DevSecOps: ابزارهای خودکار امنیت، بهصورت بومی در چرخهی توسعه نرمافزار ادغام خواهند شد تا هرگونه نفوذ احتمالی پیش از انتشار شناسایی شود.
-
رقابت فزاینده: با ورود شرکتهای جدید و استارتاپهای حوزه AI-Sec، کیفیت و تنوع محصولات افزایش یافته و قیمت خدمات کاهش مییابد.
در مجموع، خودکارسازی کشف آسیبپذیری با کمک LLMها، فصل جدیدی در امنیت سایبری رقم زده که هم فرصتهای چشمگیر و هم چالشهای قابلتوجهی را پیشرو دارد.
جمعبندی
هوش مصنوعی بیگ اسلیپ گوگل با کشف ۲۰ آسیبپذیری در نرمافزارهای متنباز، راهحلی نوین برای خودکارسازی امنیت سایبری ارائه کرده است. با همکاری DeepMind و Project Zero، این سیستم اکنون میتواند گزارشهایی دقیق و عملی ارائه دهد، هرچند چالشهایی مانند گزارشهای نادرست همچنان مطرح است.
