Anthropic ilitangaza kupanua uwezo wa kugundua udhaifu katika mfumo wake wa Claude Opus 4.6 AI na kushiriki matokeo ya jaribio lililotambua udhaifu zaidi ya 500 ambao haukujulikana hapo awali (wa siku 0) katika matoleo ya hivi karibuni ya miradi mbalimbali huria. Utafiti huo ulilenga kutambua udhaifu unaosababishwa na matatizo ya kumbukumbu, kwani uwepo wao ni rahisi kuthibitisha. Udhaifu wote uliotambuliwa ulipewa kiwango cha juu cha ukali. Kila udhaifu ulipitiwa na kuthibitishwa na wafanyakazi wa Anthropic au watafiti wa usalama wa nje.
Ili kuchambua udhaifu, besi za msimbo za miradi maarufu ya chanzo huria, ambayo imekuwa ikipitia majaribio ya mara kwa mara ya kufifia kwa muda mrefu kwa kutumia huduma ya OSS-Fuzz, zilitumika. Tofauti na majaribio ya kufifia, ambayo hutoa mkondo wa michanganyiko yote ya nasibu ya data ya kuingiza data, modeli ya AI ilijaribu kuchanganua msimbo, ikizingatia marekebisho ya zamani ili kubaini makosa kama hayo ambayo hayajatatuliwa, ikiangazia mifumo yenye matatizo, na kubaini kimantiki ni data gani ya kuingiza data inayoweza kuvuruga utekelezaji.
Taarifa kuhusu udhaifu uliotambuliwa wakati wa jaribio tayari zimeanza kushirikiwa na watunzaji, ambao tunashirikiana nao kuidhinisha viraka. Ili kuwasaidia watunzaji wakati wa ukaguzi wa mwongozo, viraka vilitengenezwa ili kushughulikia masuala yaliyotambuliwa. Kwa mfano, udhaifu tatu katika GhostScript, OpenSC, na CGIF zimeorodheshwa, ambazo zimerekebishwa na watunzaji wakati wa kuchapishwa.
Usanidi uliotumika kutambua matatizo haukuwa sawa na mifumo ya jadi ya kuchanganua udhaifu kiotomatiki - modeli ya Claude Opus 4.6 ilipewa ufikiaji wa mashine pepe, ambayo, pamoja na msimbo uliokuwa ukichambuliwa, ilijumuisha zana za kawaida za msanidi programu (coreutils, Python, n.k.) na huduma za utatuzi na uchambuzi wa udhaifu (ikiwa ni pamoja na huduma za kuzima). Mfano huo haukupewa maagizo wazi kuhusu jinsi ya kutumia zana hizi au taarifa yoyote maalum kuhusu mbinu za kugundua udhaifu. Mfano huo ulipewa tu kazi na kuruhusiwa kufikiria kwa uhuru kuhusu matumizi bora ya zana zinazopatikana.
Wakati wa kutafuta udhaifu katika GhostScript, modeli ya AI awali ilijaribu kupima kwa njia fiche, lakini iliposhindwa, ilibadilisha hadi uchambuzi wa msimbo. Uchambuzi wa msimbo pia ulishindwa, kwa hivyo modeli hiyo ilianza kuchunguza historia ya ahadi ya Git na kugundua kutajwa kwa ukaguzi wa mipaka ya bafa katika moja ya ahadi. Baada ya kuchanganua ahadi, modeli hiyo iliamua kwamba marekebisho hayo yaliongeza ukaguzi wa mipaka ya bafa uliokosekana wakati wa kuchakata fonti.
Kisha modeli hiyo ilitambua msimbo uliokuwepo kabla ya marekebisho na kujaribu kupata mifumo kama hiyo ya matumizi ya kitendakazi chenye tatizo katika msimbo uliobaki ambao haujarekebishwa. Hatimaye, wito wa kitendakazi cha gs_type1_blend bila ukaguzi wa uthibitishaji wa thamani uligunduliwa katika faili ya gdevpsfx.c. Hatimaye, modeli hiyo ilitambua yaliyomo kwenye faili ambayo usindikaji wake ulisababisha ajali kutokana na data kuandikwa kwenye eneo la kumbukumbu nje ya bafa iliyotengwa.
Katika CGIF, modeli ya AI ilitegemea ukweli kwamba wakati wa kuondoa mgandamizo wa faili za GIF, maktaba ilidhani kwamba ukubwa wa data iliyobanwa ulikuwa mdogo kila wakati kuliko data iliyoondolewa mgandamizo. Utafutaji wa udhaifu ulilenga kutambua hali ambazo data iliyobanwa ya LZW ingekuwa kubwa kuliko data iliyoondolewa mgandamizo. Hali kama hizo zilipatikana, na modeli ya AI iliweza kutoa faili ya GIT ambayo usindikaji wake ulisababisha kufurika kwa bafa. Katika OpenSC, suala hilo lilitambuliwa baada ya kuchanganua matumizi ya vitendakazi vya strrchr na strcat ambavyo vinaweza kuwa hatari katika msimbo.
Imebainika kuwa mifumo ya lugha imefikia kiwango kinachoweza kutambua udhaifu ambao haukujulikana hapo awali na hivi karibuni itawazidi wataalamu wa usalama katika kasi na kiwango cha utafutaji wa udhaifu. Inatarajiwa kwamba idadi inayoongezeka ya udhaifu uliotambuliwa itahitaji kurekebisha michakato iliyopo ya ufichuzi, kwani tarehe ya mwisho ya sasa ya viraka ya siku 90 haitoshi.
Chanzo: opennet.ru
