ዛሬ፣ በGPT‑5 የሚሰራውን፣ ኤጀንቲክ የደህንነት ተመራማሪ የሆነውን Aardvarkን እያስተዋወቅን ነው።
የሶፍትዌር ደህንነት በቴክኖሎጂ ውስጥ ካሉት እጅግ ወሳኝ—እና ፈታኝ—ወሰኖች አንዱ ነው። በየዓመቱ፣ በኢንተርፕራይዝ እና በኦፕን ሶርስ ኮድቤዝ ውስጥ በአስር ሺዎች የሚቆጠሩ አዳዲስ ተጋላጭነቶች ይገኛሉ። ተከላካዮች ከጠላቶቻቸው በፊት ተጋላጭነቶችን የማግኘት እና የማስተካከል ከባድ ስራዎች ይጠብቃቸዋል። በOpenAI፣ ይህንን ሚዛን ለተከላካዮች ጥቅም እንዲያዘነብል በማድረግ ላይ እየሰራን ነው።
Aardvark በሰው ሰራሽ አስተውሎት (AI) እና በደህንነት ምርምር ውስጥ አንድ ግኝትን ይወክላል፦ አበልጻጊዎች እና የደህንነት ቡድኖች የደህንነት ተጋላጭነቶችን በስፋት እንዲያገኙ እና እንዲያስተካክሉ የሚያግዝ ራሱን የቻለ ወኪል ነው። Aardvark በዚህ መስክ ያሉትን ችሎታዎች ለማረጋገጥ እና ለማሻሻል አሁን በግል ቤታ ይገኛል።
Aardvark ተጋላጭነቶችን ለመለየት፣ የብዝበዛን ሁኔታ ለመገምገም፣ ክብደትን ቅድሚያ ለመስጠት እና የታለሙ ጥገናዎችን ለማቅረብ የምንጭ ኮድ ማከማቻዎችን ያለማቋረጥ ይከታተላል።
Aardvark የሚሰራው በኮድቤዝ ላይ የተደረጉ ኮሚቶችን እና ለውጦችን በመከታተል፣ ተጋላጭነቶችን በመለየት፣ እንዴት ጥቅም ላይ ሊውሉ እንደሚችሉ እና ጥገናዎችን በማቅረብ ነው። Aardvark እንደ ፉዚንግ ወይም የሶፍትዌር ቅንብር ትንተና ባሉ የተለመዱ የፕሮግራም ትንተና ቴክኒኮች ላይ ጥገኛ አይደለም። በምትኩ፣ የኮድ ባህሪን ለመረዳት እና ተጋላጭነቶችን ለመለየት በLLM የሚሰራ የማመዛዘን ችሎታ እና የመሳሪያ አጠቃቀምን ይጠቀማል። Aardvark የሰው ልጅ ደህንነት ተመራማሪ እንደሚያደርገው ሁሉ ሳንካዎችን ይፈልጋል፦ ይህም ኮድ በማንበብ፣ በመተንተን፣ ሙከራዎችን በመጻፍ እና በማስኬድ፣ መሳሪያዎችን በመጠቀም እና ሌሎችንም ያደርጋል።
አርድቫርክ ተጋላጭነቶችን ለመለየት፣ ለማብራራት እና ለማስተካከል ባለብዙ ደረጃ መስመር ላይ ይተማመናል፦
- ትንተና፦ የፕሮጀክቱን የደህንነት ዓላማዎች እና ዲዛይን ግንዛቤ የሚያንፀባርቅ የስጋት ሞዴል ለማዘጋጀት ሙሉውን ማከማቻ በመተንተን ይጀምራል።
- ኮሚት ስካኒንግ፦ አዲስ ኮድ ኮሚት ሲደረግ በመላው ማከማቻ እና በስጋት ሞዴል ላይ የተደረጉ የኮሚት ደረጃ ለውጦችን በመመርመር ተጋላጭነቶችን ይቃኛል። አንድ ማከማቻ ለመጀመሪያ ጊዜ ሲገናኝ፣ Aardvark ያሉትን ችግሮች ለመለየት ታሪኩን ይቃኛል። Aardvark የሚያገኛቸውን ተጋላጭነቶች ለሰው ግምገማ የሚሆን የኮድ ማብራሪያ በማድረግ ደረጃ በደረጃ ያብራራል።
- ማረጋገጥ፦ Aardvark ሊከሰት የሚችል ተጋላጭነትን አንዴ ካወቀ በኋላ፣ ተጋላጭነቱን ለማረጋገጥ በተነጠለ፣ በሳንቦክስ አካባቢ ውስጥ ለማስጀመር ይሞክራል። Aardvark ትክክለኛ፣ ከፍተኛ ጥራት ያለው እና ዝቅተኛ የተሳሳቱ አዎንታዊ ግንዛቤዎች ለተጠቃሚዎች መመለሳቸውን ለማረጋገጥ የተወሰዱትን እርምጃዎች ይገልጻል።
- ፓቺንግ፦ Aardvark የሚያገኛቸውን ተጋላጭነቶች ለማስተካከል ከOpenAI Codex ጋር ይዋሃዳል። ለእያንዳንዱ ግኝት በCodex የተፈጠረ እና በAardvark የተቃኘ ፓች ለሰው ግምገማ እና ቀልጣፋ፣ የአንድ ጠቅታ ፓቺንግ ያያይዘዋል።
Aardvark ከመሐንዲሶች ጋር በመተባበር ከGitHub፣ Codex እና ከሌሎች ነባር የስራ ፍሰቶች ጋር በመተባበር ልማትን የማያዘገዩ ግልጽ እና ተግባራዊ ግንዛቤዎችን ያቀርባል። Aardvark ለደህንነት ሲባል የተገነባ ቢሆንም፣ በሙከራችን እንደ የአመክንዮ ጉድለቶች፣ ያልተሟሉ ጥገናዎች እና የግላዊነት ችግሮች ያሉ ሳንካዎችን ሊያገኝ እንደሚችል አግኝተናል።
Aardvark ለብዙ ወራት አገልግሎት ሲሰጥ የቆየ ሲሆን፣ በOpenAI ውስጣዊ ኮድቤዞች እና ከውጭ አልፋ አጋሮች ጋር በቀጣይነት ሲሰራ ቆይቷል። በOpenAI፣ ትርጉም ያላቸው ተጋላጭነቶችን አሳይቷል እና ለOpenAI የመከላከያ አቋም አስተዋጽኦ አድርጓል። አጋሮች የትንታኔውን ጥልቀት አጉልተው ያሳዩ ሲሆን Aardvark ውስብስብ በሆኑ ሁኔታዎች ውስጥ ብቻ የሚከሰቱ ችግሮችን አግኝቷል።
Aardvark በ"ወርቃማ" ማከማቻዎች ላይ በሚደረግ የቤንችማርክ ሙከራ 92% የሚሆኑትን የታወቁ እና በሰው ሰራሽ መንገድ የተዋወቁ ተጋላጭነቶችን የለየ ሲሆን ይህም ከፍተኛ የማስታወስ ችሎታ እና የእውነተኛ ዓለም ውጤታማነቱን አሳይቷል።
Aardvark በኦፕን ሶርስ ፕሮጀክቶች ላይም ተግባራዊ የተደረገ ሲሆን እዚያም በርካታ ተጋላጭነቶችን ያገኘ ሲሆን እኛም በኃላፊነት ስሜት አሳውቅናል—ከእነዚህም ውስጥ አስር የሚህኑት የCommon Vulnerabilities and Exposures (CVE) መለያዎችን አግኝተዋል።
ለብዙ አሥርተ ዓመታት ክፍት ምርምር እና ኃላፊነት የተሞላበት ይፋ ማድረግ ተጠቃሚዎች እንደመሆናችን መጠን፣ ዲጂታል ሥነ-ምህዳሩን—ለሁሉም ሰው ደህንነቱ የተጠበቀ የሚያደርጉ መሳሪያዎችን እና ግኝቶችን ለማበርከት ቁርጠኛ ነን። ለኦፕን ሶርስ ሶፍትዌር ሥነ-ምህዳር እና ለአቅርቦት ሰንሰለት ደህንነት አስተዋጽኦ ለማድረግ ለንግድ ያልሆኑ ኦፕን ሶርስ ማከማቻዎችን ለመምረጥ ለሕዝብ ጥቅም የሚደረግ ቅኝት ለማቅረብ አቅደናል።
በቅርቡ ለአበልጻጊዎች ጫና ሊፈጥር የሚችል ጥብቅ የይፋ ማድረጊያ ጊዜ ሰሌዳ ሳይሆን በትብብር እና መስፋፋት በሚችል ተጽእኖ ላይ ያተኮረ ለገንቢዎች ተስማሚ የሆነ የተቀናጀ የይፋ ማድረጊያ መመሪያችንን አዘምነናል። እንደ Aardvark ያሉ መሳሪያዎች ቁጥራቸው እያደገ የሚመጣ የሳንካዎችን ግኝት እንደሚያደርጉ እንጠብቃለን፣ እና የረጅም ጊዜ የመቋቋም አቅምን ለማግኘት በዘላቂነት መተባበር እንፈልጋለን።
ሶፍትዌር አሁን የእያንዳንዱ ኢንዱስትሪ የጅርባ አጥንት ነው—ይህ ማለት የሶፍትዌር ተጋላጭነቶች ለንግዶች፣ ለመሠረተ ልማት እና ለኅብረተሰብ የስርዓት አደጋ ናቸው ማለት ነው። እ.ኤ.አ በ2024 ዓ.ም ብቻ ከ40,000 በላይ የCVEዎች ተዘግበዋል። ፍተሻችን እንደሚያሳየው 1.2% የሚሆኑ ኮሚቶች ሳንካዎችን ያመጣሉ—እነዚህም ከፍተኛ መጠን ያላቸው ውጤቶችን ሊያስከትሉ የሚችሉ ትናንሽ ለውጦች ናቸው።
Aardvark አዲስ ቅድሚያ-ተከላካዮች የሆነ ሞዴልን ይወክላል፦ ኮድ እያደገ ሲሄድ ቀጣይነት ያለው ጥበቃ በማቅረብ ከቡድኖች ጋር በመተባበር የሚሰራ ኤጀንቲክ ደህንነት ተመራማሪ። ተጋላጭነቶችን ቀደም ብሎ በመያዝ፣ የእውነተኛ ዓለም ብዝበዛን በማረጋገጥ እና ግልጽ የሆኑ ጥገናዎችን በማቅረብ፣ Aardvark ፈጠራን ሳያዘገይ ደህንነትን ማጠናከር ይችላል። ለደህንነት ባለሙያዎች ተደራሽነትን በማስፋፋት እናምናለን። በግል ቤታ እንጀምራለን እና እየተማርን ስንሄድ ተደራሽነትን እናሰፋለን።
የተመረጡ አጋሮችን ወደ Aardvark የግል ቤታ እንዲቀላቀሉ እየጋበዝን ነው። ተሳታፊዎች ቀደም ብለው መድረስ የሚችሉ ሲሆን የምርመራ ትክክለኛነትን፣ የማረጋገጫ የስራ ፍሰቶችን እና የሪፖርት አቀራረብ ተሞክሮን ለማሻሻል ከቡድናችን ጋር በቀጥታ ይሰራሉ።
በተለያዩ አካባቢዎች ላይ አፈፃፀምን ለማረጋገጥ እንፈልጋለን። ድርጅትዎ ወይም ኦፕን ሶርስ ፕሮጀክትዎ ለመቀላቀል ፍላጎት ካለው፣ እዚህ ማመልከት ይችላሉ።
ደራሲ
አስተዋጽኦ አበርካቾች
Akshay Bhat፣ Andy Nguyen፣ Dave Aitel፣ Harold Nguyen፣ Ian Brelinsky፣ Tiffany Citra፣ Xin Hu እና Matt Knight
ማንበብዎን ይቀጥሉ
