Google, güvenlik açıklarını belirleyip düzelterek yazılım güvenliğini otomatik olarak artıran, yapay zeka destekli yeni bir aracı olan CodeMender’ı tanıttı.
Bu girişim, güvenlik açıklarının hızlı, yapay zeka destekli keşfi ile bu kusurların düzeltilmesi için gereken zaman alıcı manuel çaba arasındaki büyüyen uçurumu ele alıyor.
Gelişmiş yapay zekadan yararlanan CodeMender, yalnızca yeni tehditlere tepki vermekle kalmaz, aynı zamanda tüm güvenlik açığı sınıflarını ortadan kaldırmak için mevcut kodu proaktif olarak yeniden yazar.
Proje, ilk altı ayında çeşitli açık kaynaklı projelere, bazıları 4,5 milyon satıra kadar kod tabanlarına sahip 72 güvenlik düzeltmesiyle katkıda bulundu.
Bu gelişme, Google’ın kendi Big Sleep ve OSS-Fuzz gibi yapay zeka araçlarının sıfır gün güvenlik açıklarının keşfini hızlandırması ve insan geliştiricilerin tek başına yönetmesi zorlaşan bir dizi düzeltme oluşturmasıyla ortaya çıkıyor.
Yapay Zeka Ajanı CodeMender
CodeMender, Google’ın Gemini Deep Think modelleri tarafından desteklenen otonom bir aracı olarak çalışır. Yazılım hakkında akıl yürütmesine, karmaşık sorunlarda hata ayıklamasına ve kendi değişikliklerini doğrulamasına olanak tanıyan bir dizi gelişmiş araçla donatılmıştır.
Bu, önerilen herhangi bir yamanın doğru olmasını ve yeni sorunlara veya gerilemelere neden olmamasını sağlar. Aracının kapsamlı yaklaşımı, daha güvenli uygulamaları benimsemek için yeni güvenlik açıklarına reaktif yama uygulanmasını kodun proaktif olarak yeniden yazılmasıyla birleştirir.
Bir güvenlik kusurunun gerçek kaynağını belirlemek için CodeMender, statik ve dinamik analiz, bulanıklaştırma ve diferansiyel testler dahil olmak üzere gelişmiş program analiz tekniklerini kullanır.
Örneğin, yığın arabellek taşması çökmesini içeren bir durumda, aracı anlık hatanın ötesine baktı ve temel nedeni ayrıştırma sırasında XML öğelerinin yanlış yığın yönetimi olarak tanımladı.
Daha sonra etkili bir yama tasarladı. Sistem ayrıca, gerilemeleri önlemek için kod değişikliklerini analiz eden ve aracının kendi kendini düzeltmesini sağlayan LLM tabanlı bir eleştiri aracı da dahil olmak üzere özel çoklu aracı sistemlerini kullanıyor.
CodeMender, bireysel hataları düzeltmenin ötesinde, kod tabanlarını gelecekteki saldırılara karşı proaktif olarak güçlendirmek için tasarlanmıştır. Önemli bir uygulamada, aracı yaygın olarak kullanılan libwebp görüntü sıkıştırma kütüphanesi.
Sistematik olarak uygulandı -fbounds-safety ek açıklamalar, koda sınır kontrolleri ekleyen bir güvenlik özelliğidir. Google’a göre bu tek önlem, kötü şöhretli durumu ortaya çıkarabilirdi libwebp Sıfır tıklamayla iOS kullanımında kullanılan güvenlik açığı (CVE-2023-4863), yararlanılamaz.
İlk sonuçlar umut verici olsa da Google, yapay zeka tarafından oluşturulan her yamanın gönderilmeden önce insan araştırmacılar tarafından incelenmesini sağlayarak dikkatli bir şekilde ilerliyor.
Şirket, CodeMender tarafından oluşturulan yamaları sunmak ve geri bildirim toplamak için kritik açık kaynak projelerinin bakımcılarına erişimini giderek artırıyor.
Nihai hedef, sistemi geliştirmek ve tüm yazılım geliştiriciler için halka açık bir araç olarak yayınlamaktır. Bu, herkes için yazılım güvenliğini artırmak amacıyla yapay zekadan yararlanma konusunda önemli bir adıma işaret ediyor. Google, önümüzdeki aylarda teknik belgeler ve raporlarda daha fazla ayrıntı paylaşmayı planlıyor.
Cyber Awareness Month Offer: Upskill With 100+ Premium Cybersecurity Courses From EHA's Diamond Membership: Join Today
