Os agentes da IA estão melhorando o código de escrita – e hackeando -o também
O mais recente inteligência artificial Os modelos não são apenas Notavelmente bom em engenharia de software-A pesquisa de novas mostra que eles também estão se tornando cada vez mais confusos em encontrar bugs no software.
Os pesquisadores da IA da UC Berkeley testaram o quão bem os mais recentes modelos e agentes da IA poderiam encontrar vulnerabilidades em 188 grandes bases de código de código aberto. Usando a Nova referência chamado Cybergymos modelos de IA identificaram 17 novos bugs, incluindo 15 previamente desconhecidos, ou “dias zero”. “Muitas dessas vulnerabilidades são críticas”, diz Dawn Song, professor da UC Berkeley que liderou o trabalho.
Muitos especialistas esperam que os modelos de IA se tornem armas formidáveis de segurança cibernética. Uma ferramenta de IA do startup xbow atualmente criou as fileiras de hackeroneA tabela de classificação para caçar insetos e atualmente fica no primeiro lugar. A empresa anunciou recentemente US $ 75 milhões em novo financiamento.
Song diz que as habilidades de codificação dos mais recentes modelos de IA combinados com a melhoria das habilidades de raciocínio estão começando a mudar o cenário de segurança cibernética. “Este é um momento crucial”, diz ela. “Na verdade, excedeu nossas expectativas gerais.”
À medida que os modelos continuam a melhorar eles automatizará o processo de descobrir e explorar falhas de segurança. Isso pode ajudar as empresas a manter seu software seguro, mas também pode ajudar hackers a invadir sistemas. “Nós nem nos esforçamos muito”, diz Song. “Se aumentássemos o orçamento, permitisse que os agentes corressem por mais tempo, eles poderiam fazer ainda melhor”.
A equipe da UC Berkeley testou os modelos convencionais de IA da fronteira do OpenAI, Google e Antrópico, bem como ofertas de código aberto da Meta, Deepseek e Alibaba combinadas com vários agentes para encontrar bugs, incluindo AbertoAssim, Cybenche Enigma.
Os pesquisadores usaram descrições de vulnerabilidades de software conhecidas dos 188 projetos de software. Eles então alimentaram as descrições aos agentes de segurança cibernética alimentados pelos modelos de Frontier AI para ver se eles poderiam identificar as mesmas falhas para si mesmas analisando novas bases de código, testes de execução e elaboração de explorações de prova de conceito. A equipe também pediu aos agentes que procurem novas vulnerabilidades nas bases de código por si mesmas.
Através do processo, as ferramentas de IA geraram centenas de explorações de prova de conceito e, dessas explorações, os pesquisadores identificaram 15 vulnerabilidades não vistas e duas vulnerabilidades que haviam sido divulgadas e corrigidas anteriormente. O trabalho contribui para evidências crescentes de que a IA pode automatizar a descoberta de vulnerabilidades de dia zero, que são potencialmente perigosas (e valiosas) porque podem fornecer uma maneira de invadir sistemas ao vivo.
A IA parece destinada a se tornar uma parte importante da indústria de segurança cibernética. Especialista em segurança Sean Heelan descoberto recentemente Uma falha de dia zero no kernel Linux amplamente utilizado com a ajuda do modelo de raciocínio do OpenAI O3. Em novembro passado, Google anunciado que havia descoberto uma vulnerabilidade de software anteriormente desconhecida usando a IA através de um programa chamado Project Zero.
Como outras partes da indústria de software, muitas empresas de segurança cibernética estão apaixonadas pelo potencial da IA. O novo trabalho mostra que a IA pode encontrar rotineiramente novas falhas, mas também destaca as limitações restantes com a tecnologia. Os sistemas de IA foram incapazes de encontrar a maioria das falhas e foram perplexos por especialmente complexos.
