اوپن‌ای‌آی از عامل هوش مصنوعی «Aardvark» برای بخش امنیت سایبری رونمایی کرد

به گزارش پیوست، اوپن‌ای‌آی در پست وبلاگی خود می‌گوید این مدل برخلاف ابزارهای سنتی امنیتی که بر تکنیک‌هایی چون فازینگ (Fuzzing) یا تحلیل ترکیب نرم‌افزار (SCA)تکیه دارند، از استدلال مبتنی بر مدل زبانی بزرگ برای درک رفتار کد همانند یک پژوهشگر انسانی استفاده می‌کند و بدین ترتیب امکان شناسایی خطاهای منطقی، باگ‌های امنیتی و حتی مشکلات حریم خصوصی را دارد.

مدل Aardvark برای نخستین بار مفهوم «پژوهشگر امنیتی خودکار» را در مقیاس گسترده به واقعیت تبدیل می‌کند و با تحلیل مداوم مخازن کد منبع، تغییرات و اطلاعات ارسالی به مخزن را بررسی می‌کند، آسیب‌پذیری‌های احتمالی را شناسایی و اولویت‌بندی کرده و در نهایت وصله‌های پیشنهادی برای رفع آنها ارائه می‌دهد.

رویکرد چند مرحله‌ای برای افزایش دقت مدل

مدل Aardvark از یک فرایند چندمرحله‌ای برای تحلیل و ترمیم آسیب‌پذیری‌ها استفاده می‌کند که طبق اعلام شرکت مراحل زیر را شامل می‌شود:

تحلیل اولیه: در این مرحله مدل به بررسی کامل مخزن برای تولید مدل تهدید و درک معماری امنیتی پروژه می‌پردازد.

اسکن اطلاعات ارسالی به مخزن (کامیت؛ Commit): ارزیابی تغییرات جدید در کد نسبت به مدل تهدید و شناسایی آسیب‌پذیری‌های تازه.

اعتبارسنجی در محیط ایزوله: تلاش برای اجرای کنترل‌شده آسیب‌پذیری‌ها در محیط‌های امن برای تایید میزان قابلیت بهره‌برداری و کاهش موارد مثبت کاذب.

اصلاح خودکار: تولید وصله‌های امنیتی با استفاده از OpenAI Codex و پیوست آنها به یافته‌ها برای تایید توسط توسعه‌دهندگان.

طبق داده‌های رسمی اوپن‌ای‌آی، Aardvark در آزمون‌های استانداردی که با استفاده از مخازن دارای آسیب‌پذیری شناخته‌شده یا مصنوعی انجام می‌گیرند، دقت شناسایی ۹۲ درصدی را کسب کرده است. این عامل تاکنون چندین آسیب‌پذیری در پروژه‌های متن‌باز را کشف کرده و ۱۰ مورد از آنها موفق به دریافت شناسه رسمی CVE شده‌اند.

همکاری با توسعه‌دهندگان و ابزارهای موجود

مدل متن‌باز Aardvark برای ادغام مستقیم با محیط‌های کاری توسعه‌دهندگان طراحی شده و به‌صورت بومی از GitHub و Codex پشتیبانی می‌کند. این عامل در واقع در نقش یک همکاری برای تیم‌های مهندسی ایفای نقش می‌کند و یافته‌های خود را به‌صورت گام‌به‌گام با حاشیه‌نویسی در کد ارائه می‌دهد تا فرایند بازبینی انسانی ساده‌تر شود.

اوپن‌ای‌آی اما مدعی است که Aardvark تنها ابزاری برای امنیت نیست و در آزمایش‌های داخلی حتی موفق به شناسایی خطاهای منطقی و نقص‌های عملکردی در کد نیز شده است.

عرضه Aardvark در زمانی انجام می‌شود که پذیرش ابزارهای امنیتی مبتنی بر هوش مصنوعی در سطح سازمانی با شتابی بی‌سابقه در حال افزایش است. طبق داده‌های مؤسسه Cyberhaven Labs، بیش از ۲۷.۷ درصد شرکت‌ها تنها چند روز پس از عرضه، از ابزارهای جدید هوش مصنوعی در امنیت خود استفاده می‌کنند. این نرخ در بخش فناوری به ۶۷ درصد، داروسازی ۵۰ درصد و مالی ۴۰ درصد رسیده است.

در سال ۲۰۲۴ بیش از ۴۰ هزار آسیب‌پذیری رایج امنیتی (CVE) به ثبت رسیده‌اند و داده‌های داخلی اوپن‌ای‌آی نشان می‌دهد که حدود ۱.۲ درصد از کامیت‌های نرم‌افزاری جدید به‌طور متوسط باگ امنیتی ایجاد می‌کنند و در نتیجه ابزار Aardvark از اوپن‌ای‌آی یک مشکل گسترده را در جهان سایبری هدف قرار می‌دهد.

اوپن‌ای‌آی اعلام کرده هدف از راه‌اندازی Aardvark، افزایش توان دفاعی توسعه‌دهندگان و سازمان‌ها در برابر موج روزافزون تهدیدات سایبری است. با این حال شرکت اعلام کرده است که Aardvark قرار نیست جایگزین انسان‌ها و متخصصان امنیت سایبری شود، بلکه در جایگاه یک شریک تحقیقاتی خودکار، روند کشف و رفع آسیب‌پذیری‌ها را سریع‌تر، دقیق‌تر و ایمن‌تر می‌کند.

به گفته سخنگوی اوپن‌ای‌آی، این ابزار در حال حاضر تنها در اختیار شرکای منتخب در مرحله بتای خصوصی قرار دارد و پس از ارزیابی میدانی، در سال ۲۰۲۶ به‌صورت عمومی عرضه خواهد شد.