Против лома ИИ приемы⁠⁠

Против лома ИИ приемы.

Специалистам, глубоко разбирающимся в уязвимостях безопасности вроде переполнений буфера и эксплойтов, стоит ознакомиться с детальным анализом от Anthropic по их модели Mythos. За пару месяцев она выявила тысячи zero-day багов в open-source проектах, хотя доступ к модели пока ограничен для широкой аудитории.

Пример уязвимости в OpenBSD

В отчете разбирают реальные случаи, включая 27-летнюю zero-day в OpenBSD — баг в tcp-input.c, отвечающем за обработку TCP-пакетов. Этот файл проверяли десятки экспертов и инструментов анализа на протяжении десятилетий, но ошибка осталась незамеченной: она сочетает два несвязанных дефекта, приводящих к отрицательному номеру пакета, 32-битному переполнению и попытке записи по NULL-указателю в связном списке SACK-дырок, что крашит любой интернет-подключенный сервер.

Масштабируемость ручного аудита

Файл tcp-input.c насчитывает свыше 4000 строк и решает множество задач помимо SACK. Если бы опытному разработчику поручили ручной аудит именно на SACK-уязвимости с фокусом на edge-кейсы, отрицательные значения, оверфлоу и буферы, баг мог бы всплыть за пару дней — но на это нет ни бюджетов, ни мотивации для скрупулезного разбора узких кусков кода вроде TCP-опций в сетевом стеке ядра.

Преимущества ИИ-агентов

Просто запустить умный ИИ-агент, чтобы он разделил tcp-input.c на 10–20 модулей, включая SACK, и поручил каждому специализированному агенту поиск багов — и один из них, как в случае с Mythos, найдет проблему. Остальные потратят ресурсы впустую, но ложные срабатывания отфильтрует судья-агент, без лишних затрат.

Один квалифицированный программист проанализирует файл, но не миллион файлов одновременно. Зато один эффективный ИИ-агент масштабируется до миллиона, радикально меняя подход к аудиту ПО — и это пока слабо осознают в индустрии.

Хотя в этой новости умалчивается сколько было ложных срабатываний, но с ними ты свою корову не продашь.

#AI #Новости #Нейросети #Моё
@DevsRoot
В MAX