| 👀 خبر در یک نگاه:
گوگل دیپمایند با رونمایی از CodeMender، سیستم مبتنی بر هوش مصنوعی، آسیبپذیریهای نرمافزاری را خودکار شناسایی، ترمیم و راستیآزمایی میکند. این ابزار با ترکیب مدلهای استدلالی، تحلیل ایستا و پویا، فازینگ و حلکنندههای نمادین، امنیت کدهای متنباز را افزایش میدهد و پچهای امن ارائه میکند. |
گوگل دیپمایند از CodeMender رونمایی کرده است؛ عاملی مبتنی بر هوش مصنوعی که برای شناسایی، رفع و ایمنسازی خودکار آسیبپذیریهای نرمافزاری طراحی شده است. این پروژه بر پایه پیشرفتهای اخیر در مدلهای استدلالی و تحلیل برنامه بنا شده و هدفش کاهش زمانی است که توسعهدهندگان صرف یافتن و پچ کردن مشکلات امنیتی میکنند.
CodeMender چطور کار میکند؟
| 💡 CodeMender با ترکیب هوش مصنوعی، تحلیل ایستا و پویا، فازینگ و حلکنندههای نمادین، آسیبپذیریها را خودکار شناسایی، ترمیم و راستیآزمایی میکند و پچهای امن ارائه میدهد. |
روشهای سنتی مانند تحلیل ایستا (Static Analysis) یا فازینگ (Fuzzing) سالها در کشف آسیبپذیریها مفید بودهاند، اما معمولا نیازمند تایید و پچ دستی هستند. CodeMender رویکردی گستردهتر دارد و کشف خودکار آسیبپذیری را با ترمیم و راستیآزمایی مبتنی بر هوش مصنوعی ترکیب میکند. طی شش ماه گذشته، این سیستم ۷۲ پچ تاییدشده به پروژههای متنباز ارسال کرده است، از جمله در کدهایی با بیش از چهار میلیون خط.
به گفته تیم پژوهشی، CodeMender از مدلهای استدلالی بزرگ در کنار تحلیل ایستا و پویا، فازینگ و حلکنندههای نمادین (Symbolic Solvers) برای درک رفتار برنامه استفاده میکند. وقتی نقصی را شناسایی میکند، مجموعهای از پچهای پیشنهادی تولید کرده و آزمایشهای خودکاری انجام میدهد تا مطمئن شود مشکل اصلی رفع شده، بدون آنکه عملکرد موجود دچار اختلال یا پسرفت شود. تنها پچهایی که این آزمونها را با موفقیت میگذرانند برای بازبینی انسانی و ارسال به پروژه اصلی ارائه میشوند.
نمونههای اولیه شامل رفع سرریز بافر هیپ (Heap-buffer overflow) ناشی از خطا در مدیریت استک XML و حل یک باگ پیچیده در چرخه عمر آبجکت (Object Lifetime) از طریق تغییرات غیرساده در کد بوده است.
این سیستم همچنین از تقویت پیشگیرانه امنیت (Proactive Hardening) پشتیبانی میکند؛ برای مثال در یک مورد، CodeMender بهصورت خودکار توضیحات ایمنی را به کتابخانه معروف libwebp اضافه کرد تا از سوءاستفاده مجدد برخی حملات سرریز بافر جلوگیری شود.
نظرات و واکنشها
واکنش جامعه توسعهدهندگان عمدتا مثبت بوده است. جاوید فراهانی، مدیرعامل شرکت CogMap در لینکدین گفت:
«تعمیر خودکار، نقش هوش مصنوعی را از شناسایی خطر به تقویت فعال زیرساختها ارتقا میدهد. لایه تایید (Verification Layer) حیاتی است؛ اعتماد زمانی ایجاد میشود که این سیستمها بتوانند بدون اثرات جانبی، بهصورت قابل اتکا مشکلات را رفع کنند.»
در ردیت، کاربران درباره تاثیر اتوماتیکشدن گسترده در امنیت سایبری بحث کردند. یکی پرسید:
«آیا در آینده رباتهایی مثل این بهصورت دائمی اجرا خواهند شد؟»
و کاربر دیگری پاسخ داد:
«بله و مهاجمان هم از همین مدلها برای یافتن آسیبپذیریها استفاده خواهند کرد. هرکسی که مدل جدیدتر و توان پردازشی بیشتری داشته باشد، برنده است. شاید بهجای حملات DDoS، افراد دستگاهها را برای اجرای مدلهای مخرب و یافتن باگها هک کنند.»
جمعبندی
هرچند پیامدهای بلندمدت این فناوری هنوز نامشخص است، دیپمایند اعلام کرده که تمام وصلههایی که توسط CodeMender ایجاد میشوند، پیش از ادغام در پروژههای اصلی، توسط انسان بررسی میشوند. تیم سازنده بر قابلیت اعتماد و شفافیت بهعنوان اصول بنیادین تاکید کرده و قصد دارد در ماههای آینده گزارشهای فنی و ارزیابیهای دقیق منتشر کند.
CodeMender یک پروژه پژوهشی است که رویکرد تازهای برای نقش هوش مصنوعی در اکوسیستم متنباز ارائه میدهد. این رویکرد شامل شناسایی، ترمیم و پیشگیری خودکار از آسیبپذیریهای نرمافزاری است.
منبع: infoq.com
دیدگاهتان را بنویسید