تقول Google إن صيد الأخطاء القائم على الذكاء الاصطناعى وجد 20 نقاط ثغرة أمنية

أبلغت الصياد التي تعمل بنيو آي من Google من Google عن أول مجموعة من نقاط الضعف في الأمان.

أعلنت هيذر أدكنز ، نائبة رئيس أمن Google ، يوم الاثنين أن باحث Big Sleep الذي يتخذ من LLM مقراً له ، وأبلغ عن 20 عيوبًا في برامج مختلفة مفتوحة المصدر.

قال Adkins إن Big Sleep ، الذي تم تطويره من قبل قسم AI DeepMind التابع للشركة بالإضافة إلى فريق النخبة من المتسللين Project Zero ، أبلغ عن أول منافسات الضعف على الإطلاق ، ومعظمها في برامج مفتوحة المصدر مثل مكتبة الصوت والفيديو FFMPEG وجناح تحرير الصور.

بالنظر إلى أن نقاط الضعف لم يتم إصلاحها بعد ، فليس لدينا تفاصيل عن تأثيرها أو شدتها ، لأن Google لا ترغب بعد في تقديم التفاصيل ، وهي سياسة قياسية عند انتظار إصلاح الأخطاء. لكن الحقيقة البسيطة المتمثلة في أن النوم الكبير وجدت أن نقاط الضعف هذه مهمة ، حيث إنها تُظهر أن هذه الأدوات بدأت في الحصول على نتائج حقيقية ، حتى لو كان هناك إنسان متورط في هذه الحالة.

وقال كيمبرلي سامرا المتحدث باسم Google لـ TechCrunch: “لضمان تقارير عالية الجودة وقابلة للتنفيذ ، لدينا خبير بشري في الحلقة قبل الإبلاغ ، ولكن تم العثور على كل ضعف واستنساخه من قبل وكيل الذكاء الاصطناعى دون تدخل بشري”.

كتب رويال هانسن ، نائب رئيس الهندسة من Google ، على X أن النتائج تُظهر “حدود جديدة في اكتشاف الضعف الآلي”.

أدوات LLM التي تعمل بالطاقة التي يمكن أن تبحث عنها وإيجاد نقاط الضعف هي بالفعل حقيقة واقعة. بخلاف Big Sleep ، هناك Runsybil و Xbow ، من بين آخرين.

حصل Xbow على عناوين الصحف بعد أن وصل إلى قمة أحد ألواح المتصدرين في الولايات المتحدة في Bug Bounty Platform Hackerone. من المهم أن نلاحظ أنه في معظم الحالات ، يكون لهذه التقارير إنسانًا في مرحلة ما من العملية للتحقق من أن صياد الأخطاء الذي يعمل من الذكاء الاصطناعى قد وجد ضعفًا شرعيًا ، كما هو الحال مع نوم كبير.

أخبر فلاد أيونسكو ، المؤسس المشارك وكبير موظفي التكنولوجيا في Runsybil ، وهو ناشئة تقوم بتطوير صيادين الأخطاء التي تعمل من الذكاء الاصطناعى ، TechCrunch أن Big Sleep هو مشروع “شرعي” ، بالنظر إلى أن “تصميم جيد ، والأشخاص الذين يقفون وراءها يعرفون ما يفعلونه ، يتمتع Project Zero بتجربة العثور على الأخطاء وأن Deepmind يتمتع بزهرة الأزادة والكراهية في ذلك.”

من الواضح أن هناك الكثير من الوعد بهذه الأدوات ، ولكن أيضًا على الجوانب السلبية المهمة. لقد اشتكى العديد من الأشخاص الذين يحتفظون بمشاريع برمجيات مختلفة من تقارير الأخطاء التي هي في الواقع هلوسة ، حيث يطلق البعض لهم على مكافأة Bug Bounty من AI Slop.

“هذه هي المشكلة التي يواجهها الناس ، هل نحصل على الكثير من الأشياء التي تبدو مثل الذهب ، لكنها في الواقع مجرد حماقة” ، قال Ionescu من قبل TechCrunch.