● news.bsdnet.hu

Stenberg hétfői blogbejegyzésébenelmagyarázta, hogy az Anthropic Glasswing projektjén keresztül ígéretet kapott a Mythos modellhez való hozzáférésre – legalábbis részben. A Glasswing program részeként nagy ismertségű nyílt forráskódú projektek kapnak hozzáférést a Linux Foundation közvetítésével, azonban bár Stenberg jelentkezett a Mythos kipróbálására, közvetlen hozzáférést végül nem kapott a modellhez. Ehelyett valaki más, aki rendelkezett hozzáféréssel, lefuttatta a Mythost a cURL kódbázisán, majd később elküldte neki a jelentést. „Úgysem lett volna sok időm különféle promptokkal kísérletezni és mélyebb vizsgálatokat végezni” – magyarázta Stenberg. „Nagyszerű lett volna, ha valaki elkészíti az első komoly elemzést és vizsgálatot, bárki is volt az.” Az elemzés, amely a cURL git repositoryját vizsgálta egy friss master branch commit alapján, a hónap elején érkezett meg hozzá, és összesen öt olyan problémát talált, amelyeket „megerősített biztonsági sebezhetőségnek” minősített a cURL-ben. Stenberg azt írta, hogy egy hosszú sérülékenységi listára számított, ehelyett azonban a jelentés „semminek érződött”, és ezt az érzést tovább erősítette a Mythos eredményeinek részletes átvizsgálása. „Miután a cURL biztonsági csapatának tagjaival órákon át vizsgáltuk ezt a rövid listát és beleástuk magunkat a részletekbe, végül egyetlen megerősített sérülékenység maradt” – írta Stenberg, visszautalva a korábban említett számra. A másik négy találat közül három hamis pozitívnak bizonyult, amelyek olyan cURL-hiányosságokra hívták fel a figyelmet, amelyeket már korábban dokumentáltak az API-leírásokban, míg a negyediket a csapat egyszerű hibának minősítette. „Az egyetlen megerősített sérülékenység végül egy alacsony súlyosságú CVE lesz, amelyet várhatóan a következő cURL-verzió, a 8.21.0 június végi kiadásával együtt publikálunk” – jegyezte meg a cURL fejlesztője. „A hiba senkit nem fog levegő utáni kapkodásra késztetni.” Ugyanakkor a Mythos több nem biztonsági jellegű hibát is talált, amelyeket a csapat jelenleg javít, és Stenberg szerint ezek leírása és magyarázata jól sikerült. Más szóval a Mythos képes hasznos munkát végezni, de nem az a forradalmi, mindent megváltoztató AI-modell, aminek az Anthropic beállította. „A személyes következtetésem mégis csak az lehet, hogy az eddigi hatalmas hype a modell körül elsősorban marketing volt” – írta Stenberg blogbejegyzésében. „Semmilyen bizonyítékot nem látok arra, hogy ez a rendszer bármilyen különösen magasabb vagy fejlettebb szinten találna hibákat, mint a Mythos előtti eszközök.” A cURL kódja számára nem újdonság az AI A cURL három évtizedes fennállása során széles körben használt szoftverré vált. Hatalmas elterjedtsége miatt a csapat már jóval az AI-korszak előtt különféle statikus kódelemzőkkel és fuzz teszteléssel vizsgálta a projektet. Az AI térnyerésével a cURL csapata is alkalmazkodott, így a Mythos közel sem az első mesterséges intelligencia, amely hozzáfért a cURL kódbázisához. „Ezek az eszközök és az általuk végzett elemzések az elmúlt 8–10 hónap során valahol két- és háromszáz közötti hibajavítást eredményeztek a cURL-ben” – mondta Stenberg az olyan eszközökről, mint az AISLE, a Zeropath vagy az OpenAI Codex Security, amelyek szintén tesztelték a cURL kódját. „Az AI-eszközök által jelentett találatok közül jó néhány valódi sérülékenységnek bizonyult, és CVE-ként publikálták őket. Valószínűleg egy tucatnál is több.” Stenberg tapasztalata az AI-alapú cURL-elemzéssel kapcsolatban tehát különösen alkalmassá teszi a projektet annak megítélésére, hogy a Mythos valóban hatékonyabb-e az átlagos AI-rendszereknél. Ahogy Stenberg a blogbejegyzés más részében megjegyezte, a Mythos valójában nem csinál semmi különösebben újat a biztonsági hibák felderítésében: lehet, hogy valamivel jobb az előző modelleknél bizonyos hibák megtalálásában, de „nem olyan mértékben jobb, hogy az jelentős áttörést hozzon a kódelemzésben” – írta a cURL szerzője. Stenberg ugyanakkor nem AI-pesszimista, ami a szoftverfejlesztés javítására való képességét illeti. Bár az év elején lezárta a cURL hibavadász programját a rengeteg rossz minőségű, használhatatlan hibajelentés miatt, néhány hónappal korábban még arról beszélt, hogy bizonyos AI-val támogatott biztonsági kutatók valóban értékes jelentéseket készítettek. „Az AI-alapú kódelemzők lényegesen jobbak a biztonsági hibák és programozási problémák felderítésében, mint bármely hagyományos kódelemző eszköz volt korábban” – mondta Stenberg, majd egy fontos pontosítást is hozzátett a Mythos körüli helyzet kapcsán: „Ma már minden modern AI-modell jó ebben.” A Mythos sem kreatívabb, mint az alkotói Stenberg szerint mind a régebbi AI-modelleknek, mind az olyan biztonságra specializált rendszereknek, mint a Mythos, ugyanaz az alapvető korlátjuk van: csak annyira képesek biztonsági sérülékenységeket találni, amennyire az őket programozó emberek. „Az AI-eszközök a megszokott és ismert típusú hibákat találják meg, amelyeket már eleve ismerünk. Csak új példányokat fedeznek fel belőlük” – mondta Stenberg. „Eddig egyetlen AI sem jelentett olyan sérülékenységet, amely valóban új típusú vagy teljesen ismeretlen lett volna.” Ami a Mythost illeti, Stenberg továbbra sem lenyűgözött. Blogbejegyzésében úgy fogalmazott, hogy ez „kétségtelenül elképesztően sikeres marketingfogás”. AThe Registernekküldött e-mailjében Stenberg elismerte, hogy elméletileg lehetséges lenne, hogy az AI-modellek valóban új, korábban ismeretlen típusú sérülékenységeket fedezzenek fel. Ugyanakkor továbbra sem hiszi, hogy túl tudnának lépni azon, amire az emberek képesek, hiszen végső soron az emberi tudás korlátozza őket a szoftveres sérülékenységek működésének megértésében. „A nap végén, amikor biztonságról beszélünk, valójában csak kódról beszélünk” – magyarázta Stenberg. „A forráskód szöveg, és úgy érzem, talán már a legtöbb módját ismerjük annak, hogyan lehet benne biztonsági problémákat létrehozni” – elmélkedett e-mailjében. Más szóval – ahogyan a cURL hibavadász programjához érkezett értékes, AI-val támogatott jelentések esetében is, még azelőtt, hogy a programot lezárták volna az AI által generált használhatatlan hibajelentések áradata miatt –, az olyan rendszerek hasznos alkalmazásához, mint a Mythos, továbbra is emberi kreativitásra lesz szükség. Vagyis a kritikus gondolkodást nem lehet egyszerűen egy chatbotra áthárítani. „Az emberi kutatók mindig is eszközöket használtak a biztonsági problémák keresése során” – mondta Stenberg. „Az AI bevonása csak még erősebb eszközöket ad az emberek kezébe, még több lehetőséget a hibák megtalálására. Arra számítok, hogy a jövőben sok biztonsági hibát úgy fedeznek majd fel, hogy emberek új módszereket és új promptolási megközelítéseket találnak ki az AI-k számára.” Stenberg azt is elmondta, hogy reméli, egyszer valóban hozzáférést kap a Mythoshoz, hogy saját maga is kipróbálhassa a képességeit, ugyanakkor nem tűnik túl bizakodónak azzal kapcsolatban, hogy az ígért hozzáférés ténylegesen megvalósul. „Megígérték, hogy kapok hozzáférést, és akár még meg is történhet” – mondta Stenberg. „Csak azt nem tudom, mikor.” Forrás:https://www.theregister.com Feliratkozom a hírlevélre! Elfogadom azAdatkezelési tájékoztatót. Sikeresen feliratkozott az ITB TODAY hírlevelünkre.