Generativ AI har skördat ytterligare en triumf inom debugging – inte mindre än tolv sårbarheter åtgärdades i öppenkodsbiblioteket Open SSL (OpenSSL) i januari – samtliga med samma källa, europeiska Aisle.
Det är nya rapporter. De tre sårbarheter som Elektroniktidningen nämnde i november ingår inte i räkningen.
I onsdags meddelade öppenkodsprojektet Open SSL att det hittat och åtgärdat tolv sårbarheter. Alla tolv kom från samma källa, europeiska debugverktygsmakaren Aisle.
Elektroniktidningen grattulerar Stanislav Fort, en av Aisles grundare.
 |
| Stanislav Fort |
– Tackar så mycket! Mycket nöjd med att vi lyckades ro detta i land.
Han beskriver insatsen som ett vägskäl för användningen av AI inom cybersäkerhet.
– Jag tror att detta är första gången AI har använts i den här skalan för att säkra kritisk infrastruktur baserad på öppenkod, såsom Open SSL.
I höstas rapporterade Elektroniktidningen om ett genombrott för användningen av AI-baserade verktyg för debugging. De flesta AI-genererade buggrapporter som skickas in till öppen källkodsprojekt är AI-slask, nonsens. Så är det fortfarande.
Men sedan i höstas dyker det även upp bra felrapporter som används för att rätta kod i biblioteken.
Det har två orsaker. Dels har det dykt upp bra debuggverktyg baserade på generativ AI. Och dels finns det folk därute som kan granska och värdera deras output – för mycket av det som debuggbottarna genererar är fortfarande oanvändbart.
Elektroniktidningen pratade med Stanislav Fort i höstas i samband med att vi rapporterade om de mer än hundra sårbarheter som en annan utvecklare rapporterat till Curl.
Precis som Curl är Open SSL ett kodbibliotek som används nästan överallt på Internet. Curl överför data som Open SSL krypterar – så kan man sammanfatta det.
Liksom Curl är Open SSL därmed också ett av de mest granskade och reviderade kodbiblioteken. Därför är det en fjäder i hatten för Aisle att kunna överräcka inte mindre än tolv nyupptäckta sårbarheter i koden. Alla de tolv rättelser som Open SSL rapporterat i januari upptäcktes av Aisle.
– Det är den första riktiga skarpa demonstrationen av AI-baserad cybersäkerhet i den här skalan, säger Stanislav Fort på sin blogg Less Wrong.
Med tanke på att AI-slask fortfarande dominerar bland AI-rapporterna konstaterar han den statistiska paradoxen att de genomsnittliga felrapporterna har blivit sämre samtidigt som de bästa felrapporterna har blivit fler.
Läs med om Aisles automatiserade AI-system för djup cybersäkerhetsanalysm, känd i forum under pseudonymen som Giant Anteater.
– Vårt mål var att förvandla det som tidigare varit ett elitistiskt, hantverksmässigt hackerarbete till en reproducerbar industriell process.