Os modelos mais recentes de IA não são apenas extremamente bons em engenharia de software, mas também foram mostradas novas pesquisas, levando a encontrar bugs de software.
Os pesquisadores de IA da UC Berkeley testaram o quão bem os mais recentes modelos e agentes da IA podem encontrar vulnerabilidades em 188 grandes bases de código de código aberto. Usando uma nova referência chamada Cybergym, o modelo de IA identificou 17 novos bugs, incluindo 15 anteriormente desconhecidos ou “dias zero”. “Muitas dessas vulnerabilidades são importantes”, diz Dawn Song, professor da UC Berkeley.
Muitos especialistas esperam que os modelos de IA se tornem armas formidáveis de segurança cibernética. A ferramenta de AI da Startup Xbow está atualmente aumentando as fileiras das tabelas de classificação da Hackerone para caçar insetos e está atualmente no topo. A empresa anunciou recentemente US $ 75 milhões em novo financiamento.
Song diz que o cenário de segurança cibernética está começando a mudar devido às habilidades de codificação e recursos de raciocínio dos modelos modernos de IA. “Este é um momento crucial”, diz ela. “Na verdade, excedeu nossas expectativas gerais”.
À medida que seu modelo continua a melhorar, ele automatiza o processo de descobrir e aproveitar as falhas de segurança. Isso pode ajudar as empresas a manter seu software seguro, mas pode ajudar os hackers a entrar no sistema. “Não tentamos tanto”, diz Song. “Se você tem orçamento, se seus agentes permitirem que eles funcionem mais, eles poderão ser ainda melhores”.
A equipe da UC Berkeley testou modelos tradicionais de IA de fronteira de OpenAI, Google e Humanidade, combinando produtos de código aberto da Meta, Deepseek e Alibaba com vários agentes para encontrar bugs como mão aberta, cybench, Engma.
Os pesquisadores usaram descrições de vulnerabilidades de software conhecidas de 188 projetos de software. Em seguida, forneci uma explicação a um agente de segurança cibernética alimentada pelos modelos de Frontier AI para ver se conseguia identificar as mesmas falhas, criando uma nova base de código, testes de execução e prova de provas de conceito. A equipe também pediu aos agentes que procurem novas vulnerabilidades em sua base de código.
Através desse processo, as ferramentas de IA geraram centenas de explorações de prova de conceito, das quais os pesquisadores identificaram 15 previamente divulgados e corrigidos anteriormente e duas vulnerabilidades. Este trabalho acrescenta evidências crescentes de que as descobertas de vulnerabilidades de dia zero potencialmente perigosas (e valiosas) podem ser automatizadas, pois a IA pode fornecer uma maneira de invadir sistemas ao vivo.
A IA ainda parece estar destinada a ser uma parte importante da indústria de segurança cibernética. O especialista em segurança Sean Healan descobriu recentemente uma falha de dia de zero no kernel Linux amplamente utilizado com a ajuda do modelo de inferência do Openai. Em novembro passado, o Google anunciou que havia usado a IA através de um programa chamado Project Zero para descobrir vulnerabilidades de software anteriormente desconhecidas.
Como outras partes da indústria de software, muitas empresas de segurança cibernética estão envolvidas nas possibilidades da IA. Novos trabalhos certamente mostram que a IA pode encontrar novas falhas diariamente, mas também destacar as limitações restantes da tecnologia. O sistema de IA não conseguiu encontrar a maioria dos defeitos e ficou particularmente perplexo com os defeitos complexos.
