Τα μοντέλα τεχνητής νοημοσύνης εξελίσσονται γρήγορα από απλούς βοηθούς κωδικοποίησης σε εξαιρετικά ικανούς, αυτόνομους ερευνητές ευπάθειας. Πρόσφατα, το Claude Opus 4.6 της Anthropic το απέδειξε αυτό αποκαλύπτοντας πάνω από 500 τρωτά σημεία μηδενικής ημέρας σε έργα ανοιχτού κώδικα που έχουν ελεγχθεί σε μεγάλο βαθμό.
Κατά τη διάρκεια μιας συνεργασίας δύο εβδομάδων με τη Mozilla τον Φεβρουάριο του 2026, το μοντέλο AI εντόπισε 22 μοναδικά ελαττώματα ασφαλείας στο πρόγραμμα περιήγησης ιστού Firefox. Η Mozilla ταξινόμησε 14 από αυτές ως ευπάθειες υψηλής σοβαρότητας, που αντιπροσωπεύουν σχεδόν το 20% όλων των ελαττωμάτων του Firefox υψηλής σοβαρότητας που επιδιορθώθηκαν το προηγούμενο έτος.
Αυτό το πρωτοφανές ποσοστό ανακάλυψης υπογραμμίζει μια τεράστια αλλαγή στον τρόπο με τον οποίο η βιομηχανία της κυβερνοασφάλειας προσεγγίζει το κυνήγι απειλών. Όλα τα επικυρωμένα τρωτά σημεία αντιμετωπίστηκαν γρήγορα και διορθώθηκαν στην έκδοση του Firefox 148.0, προστατεύοντας με επιτυχία εκατοντάδες εκατομμύρια καθημερινά ενεργούς χρήστες.
Με την αυτοματοποίηση της εντατικής διαδικασίας σάρωσης και αναπαραγωγής πολύπλοκων διαδρομών κώδικα, οι ομάδες ασφαλείας μπορούν να επιταχύνουν κατά πολύ τον κύκλο ζωής «εύρεση και διόρθωση» προτού οι κακόβουλοι φορείς οπλίσουν αυτές τις ημέρες μηδέν.
Ανακάλυψη ευπάθειας που βασίζεται στο AI
Για να δοκιμάσουν τις δυνατότητες του μοντέλου σε μια πολύπλοκη βάση κώδικα, οι ερευνητές ανέθεσαν στο Claude Opus 4.6 να αναλύσει το τρέχον αποθετήριο του Firefox. Η ομάδα επικεντρώθηκε αρχικά στη μηχανή JavaScript του προγράμματος περιήγησης λόγω της τεράστιας επιφάνειας επίθεσης και της τακτικής επεξεργασίας μη αξιόπιστου εξωτερικού κώδικα.
Μέσα σε μόλις είκοσι λεπτά από την αυτόνομη εξερεύνηση, η τεχνητή νοημοσύνη εντόπισε με επιτυχία μια νέα ευπάθεια Use After Free, ένα ελάττωμα καταστροφής της μνήμης που επιτρέπει στους εισβολείς να αντικαθιστούν δεδομένα με κακόβουλα ωφέλιμα φορτία.
Μετά από αυτήν την αρχική επιτυχία, ο Claude σάρωσε σχεδόν 6.000 αρχεία C++, με αποτέλεσμα 112 μοναδικές αναφορές σφαλμάτων να υποβληθούν απευθείας στο πρόγραμμα παρακολούθησης προβλημάτων Bugzilla της Mozilla.
Για να διαχειριστούν αυτή τη μαζική εισροή δεδομένων, οι ερευνητές της Mozilla και της Anthropic συνεργάστηκαν για να βελτιώσουν τη διαδικασία διαλογής, αποδεικνύοντας ότι το κυνήγι σφαλμάτων με δυνατότητα AI απαιτεί στενό συντονισμό μεταξύ αυτοματοποιημένων εργαλείων και ανθρώπινων συντηρητών.
| Λεπτομέρειες ευπάθειας | Συστατικό | Επιπτώσεις στην ασφάλεια | Κατάσταση αποκατάστασης |
|---|---|---|---|
| Χρήση μετά τη δωρεάν (μηδέν-ημέρα) | Μηχανή JavaScript | Επιτρέπει την αυθαίρετη εκτέλεση κακόβουλου κώδικα μέσω καταστροφής της μνήμης | Επιδιορθώθηκε στον Firefox 148.0 |
| Βλάβες υψηλής σοβαρότητας (14) | Αρχεία Core C++ | Διάφορες κρίσιμες επιπτώσεις που απαιτούν άμεση παρέμβαση προγραμματιστή | Επιδιορθώθηκε στον Firefox 148.0 |
| Ελαττώματα μέτριας σοβαρότητας (8) | Υποσυστήματα προγράμματος περιήγησης | Δυνατότητα περιορισμένης εκμετάλλευσης ή αμυντικής παράκαμψης | Προγραμματισμένη για επερχόμενες εκδόσεις |
Ενώ ο Claude διαπρέπει στο να ανακαλύπτει ελαττώματαη τρέχουσα ικανότητά του να τα οπλίζει παραμένει περιορισμένη αλλά ανησυχητική. Η Anthropic ανέθεσε στο μοντέλο την ανάπτυξη λειτουργικών εκμεταλλεύσεων για τα σφάλματα που ανακαλύφθηκαν για την ανάγνωση και εγγραφή τοπικών αρχείων σε ένα σύστημα προορισμού.
Μετά από αρκετές εκατοντάδες προσπάθειες που κοστίζουν περίπου 4.000 $ σε πιστώσεις API, το μοντέλο δημιούργησε επιτυχώς λειτουργικά exploits μόνο σε δύο περιπτώσεις.
Επιπλέον, αυτές οι ακατέργαστες εκμεταλλεύσεις απαιτούσαν ένα περιβάλλον δοκιμής με απενεργοποιημένο το sandbox του προγράμματος περιήγησης, πράγμα που σημαίνει ότι η αρχιτεκτονική άμυνας σε βάθος του Firefox θα είχε μετριάσει επιτυχώς τις επιθέσεις στον πραγματικό κόσμο.
Η επείγουσα ανάγκη για τους προγραμματιστές να ενισχύσουν το λογισμικό τους αυξάνεται καθώς τα μοντέλα συνόρων συνεχίζουν να βελτιώνονται. Επί του παρόντος, οι υπερασπιστές έχουν το πλεονέκτημα επειδή η τεχνητή νοημοσύνη είναι σημαντικά καλύτερη και φθηνότερη στην εύρεση τρωτών σημείων από τη δημιουργία εκμεταλλεύσεων για αυτούς.
Ωστόσο, με την πρόσφατη περιορισμένη έκδοση προεπισκόπησης του Claude Code Security, οι προηγμένες δυνατότητες ανακάλυψης ευπάθειας και επιδιόρθωσης ευπάθειας βρίσκονται απευθείας στα χέρια των πελατών και των συντηρητών ανοιχτού κώδικα.
Οι ειδικοί του κλάδου προειδοποιούν ότι το χάσμα μεταξύ ανακάλυψης και εκμετάλλευσης θα κλείσει γρήγορα, απαιτώντας από τους οργανισμούς να υιοθετήσουν τις αρχές της Συντονισμένης Αποκάλυψης Ευπάθειας (CVD) για να παραμείνουν μπροστά από τις απειλές.
Για να αμυνθούν ενάντια στο επικείμενο κύμα σφαλμάτων που δημιουργούνται από την τεχνητή νοημοσύνη, οι ερευνητές ασφαλείας πρέπει να εφαρμόσουν νέες ροές εργασίας επαλήθευσης, όπως οι «επαληθευτές εργασιών», οι οποίες είναι αυτοματοποιημένες μέθοδοι που επιτρέπουν σε έναν πράκτορα ενημέρωσης κώδικα AI να ελέγχει επαναληπτικά τη δουλειά του.
Βασικές απαιτήσεις υποβολής για αναφορές ευπάθειας που δημιουργούνται από AI:
- Συμπεριλάβετε τις συνοδευτικές ελάχιστες περιπτώσεις δοκιμής για να δείξετε τις ακριβείς συνθήκες ενεργοποίησης.
- Παρέχετε λεπτομερείς αποδείξεις ιδέας για να βοηθήσετε τους συντηρητές να κατανοήσουν το διάνυσμα εκμετάλλευσης.
- Υποβάλετε υποψήφιες ενημερώσεις κώδικα που δημιουργούνται και επικυρώνονται από το AI για να επιταχύνετε τη διαδικασία αποκατάστασης.
- Χρησιμοποιήστε αυτοματοποιημένες σουίτες δοκιμών για να διασφαλίσετε ότι οι προτεινόμενες ενημερώσεις κώδικα αφαιρούν την ευπάθεια χωρίς να προκαλούν παλινδρόμηση λογισμικού.
