• XSS.stack #1 – первый литературный журнал от юзеров форума

ИИ теперь ищет уязвимости в коде

Отслеживать
MaFio

MaFio

(L2) cache
Пользователь
Регистрация
23.02.2021
Сообщения
324
Реакции
321
Гарант сделки
2
0805.png


Вот мы неоднократно говорили, что далеком будущем, скорее всего, ИИ будет искать уязвимости в коде, а на самом деле это уже вовсю применяется.

Компания Ox Security недавно привлекла $60 млн инвестиций (по-моему, это второй раунд для них) для развития своей AI-платформы, которая анализирует более 100 миллионов строк кода ежедневно, включая AI-сгенерированный код, и предоставляет рекомендации по исправлению уязвимостей.

Также такие разработки ведут:
  • GitHub CodeQL: Использует большие языковые модели (LLMs) для автоматического моделирования API и обнаружения уязвимостей. Недавно выявили новую уязвимость CVE-2023-35947 в Gradle.
  • Bugdar: AI-инструмент для анализа pull request'ов на GitHub в реальном времени, поддерживает языки Solidity, Rust, Python и другие.
  • Scanifier: AI-сканер, обученный на данных от лучших баг-баунти охотников, обнаруживает логические уязвимости в веб-приложениях.
  • GeckoSecurity: Имитирует поведение хакеров для обнаружения критических уязвимостей и предлагает автоматические исправления.
  • CodeScanAI от CISA: Открытый инструмент от американского агентства кибербезопасности, интегрируется в CI/CD и предоставляет отчёты с рекомендациями по исправлению.

ИИ-инструменты становятся неотъемлемой частью процесса обеспечения безопасности кода. Они могут ускорить обнаружение уязвимостей и предложить решения.
А еще они приводят к новым вызовам для хакеров, ведь искать уязвимости в коде тепереь станет намного сложнее.
 
MaFio сказал(а):
ИИ-инструменты становятся неотъемлемой частью процесса обеспечения безопасности кода. Они могут ускорить обнаружение уязвимостей и предложить решения.
А еще они приводят к новым вызовам для хакеров, ведь искать уязвимости в коде тепереь станет намного сложнее.
У меня такие фразы когнитивный диссонанс вызывают. Я вот не понимаю, мне завидовать тем кто родился раньше (до 1990) и занимался хакингом в 2000-2015 или тем кто родиться позже (в будущем), потому что с одной стороны раньше все было проще, гораздо больше примитивных уязвимостей, и я пропустил все это, щас как будто гайки закручивают везде.
С другой сейчас в 2025 больше денег в IT (и дальше будет), все цифры больше (количество интернет юзеров, корп, устройств, софта, и т.д), рансом появился в ~2015 после крипты которая всё облегчает. Но уязвимости стали в среднем гораздо сложнее и комплекснее. Еще этот AI для защиты, с другой стороны этот же AI могут использовать для атаки и поиска узявимостей. Некоторые уязвимости как класс CWE вообще умерли, 2fa везде, антифрод и т.д. Хз вообщем, нужно что то extra
 
Последнее редактирование:
dunkel сказал(а):
У меня такие фразы когнитивный диссонанс вызывают. Я вот не понимаю, мне завидовать тем кто родился раньше (до 1990) и занимался хакингом в 2000-2015 или тем кто родиться позже (в будущем), потому что с одной стороны раньше все было проще, гораздо больше примитивных уязвимостей, и я пропустил все это, щас как будто гайки закручивают везде.
С другой сейчас в 2025 больше денег в IT (и дальше будет), все цифры больше (количество интернет юзеров, корп, устройств, софта, и т.д), рансом появился в ~2015 после крипты которая всё облегчает. Но уязвимости стали в среднем гораздо сложнее и комплекснее. Еще этот AI для защиты, с другой стороны этот же AI могут использовать для атаки и поиска узявимостей. Некоторые уязвимости как класс CWE вообще умерли, 2fa везде, антифрод и т.д. Хз вообщем, нужно что то extra
сначала вайб кодеры вайбкодят, потом вайбDevSecOpsы вайбдевсекопсят, потом хакер Вася из города Харькова сканирует мир и сливает терабайт персональных данных из открытой базы Elasticsearch.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх