رادار تكنولوژي

CodeMender؛ ناجی جدید دیپ‌مایند برای وصله کردن باگ‌های نرم‌افزاری قبل از اینکه هکرها سراغش برن!

  • ۱۶ مهر ۱۴۰۴

حالا بذارید خیلی خودمونی براتون توضیح بدم که چی شده! شرکت معروف Google DeepMind (همون تیم خفنِ هوش مصنوعی گوگل) یه ابزار جدید ساخته به اسم CodeMender که قول داده حسابی به درد برنامه‌نویس‌ها و محافظ‌های نرم‌افزاری بخوره. این ابزار در واقع با هوش مصنوعی ساخته شده و می‌تونه باگ‌ها یا ضعف‌های امنیتی (یعنی همون آسیب‌پذیری‌هایی که هکرها عاشقشن!) رو خودش شناسایی و قبل از اینکه کسی ازشون سو استفاده کنه، اتوماتیک برطرف کنه.

حالا این ابزار چیکار می‌کنه؟

CodeMender مخصوص نرم‌افزارهای متن‌بازه (Open Source یعنی کدش برای همه قابل دیدنه و قابل تغییر دادن). این ابزار وصله‌هایی (Patch یعنی همون تیکه کدی که یه مشکلی رو رفع می‌کنه) تولید می‌کنه که بعد، آدمای خبره بررسی‌ش می‌کنن و اگر اوکی بود میذارن پای نرم‌افزار. یعنی هم کار رو آسون‌تر می‌کنه و هم ریسک خطا رو پایین میاره.

چه جوری این باگ‌ها رو پیدا می‌کنه؟ CodeMender رو مدل Gemini Deep Think ساخته شده (یه مدل خیلی قدرتمند هوش مصنوعی). از چندتا ابزار حرفه‌ای استفاده می‌کنه مثلاً:

  • Fuzzing: یه جور تست تصادفی که می‌دونه سیستم چطوری ممکنه خراب بشه.
  • Static Analysis: یعنی تحلیل کد بدون اینکه اجراش کنن.
  • Differential Testing: یعنی مقایسه رفتار نرم‌افزار قبل و بعدِ تغییرات برای اطمینان از بهبود.

کار اصلی CodeMender اینه که باگ‌ها رو هم خودش کشف کنه و هم خودش وصله بزنه!

رییس‌های پروژه (یعنی Raluca Ada Popa و John “Four” Flynn) گفتن که فقط تو شش ماه گذشته، CodeMender تونسته ۷۲ تا از این آسیب‌پذیری‌های امنیتی رو تو پروژه‌های متن‌باز درست کنه؛ بعضیاشون تو نرم‌افزارهایی بوده که تا ۴.۵ میلیون خط کد داشتن! یعنی کلاً با پروژه‌های کوچیک و بزرگ سر و کار داره.

مهمترین نکته اینه که CodeMender قراره جای آدم رو نگیره؛ هدفش دستیار بودنه، نه حذف نیروی انسانی! کما اینکه اشتباهاتش رو خودش اول چک می‌کنه، بعد وصله تولیدی رو می‌فرسته واسه آدمای خبره تا مطمئن شن همه چیز درسته. گوگل رو این قضیه تاکید کرده که می‌خوان آدم‌ها همچنان نقش کلیدی تو امنیت داشته باشن.

یه مثال خفن از عملکرد CodeMender: توی کتابخونه libwebp که برای فشرده‌سازی عکس‌ها استفاده میشه، این ابزار به طور خودکار یه سری توضیحات یا Annotations به اسم -fbounds-safety وارد کد کرده بود. این Annotations باعث میشن کامپایلر موقع ساختن برنامه، حواسش به مرزهای حافظه باشه و جلوی یه عالمه حمله خراب‌کاری (مثل overflow ها) رو بگیره.

یه نکته مهم دیگه اینه که حالا که خلافکارها هم دارن از هوش مصنوعی کمک می‌گیرن، محافظ‌ها هم باید ابزارهای هوشمند داشته باشن. DeepMind هم دقیقاً همین دلیل رو آورده برای ساختن CodeMender.

فعلاً قراره تست این ابزار با گروهی از نگه‌دارنده‌های پروژه‌های متن‌باز (Open Source Maintainers) ادامه پیدا کنه و وقتی کاراییش کاملاً ثابت شد، قراره یه نسخه عمومی‌ترش رو واسه همه توسعه‌دهنده‌ها منتشر کنن.

گوگل علاوه بر این کار، چارچوب Secure AI Framework خودش رو هم بروزرسانی کرده (این همون قوانینیه که چطور باید هوش مصنوعی ایمن ساخته بشه) و همینطور یه برنامه جایزه گذاشته که اگر کسی تو ابزارهای هوش مصنوعی‌شون آسیب‌پذیری جدید پیدا کنه، جایزه می‌گیره! (Vulnerability Reward Program یعنی مثلا یه جور شکار باگ همراه با پاداش)

خلاصه با اومدن CodeMender، اگر برنامه‌نویس یا نگه‌دارنده نرم‌افزار هستید احتمالاً کلی وقت و انرژی صرفه‌جویی می‌کنید و راحت‌تر می‌تونید جلوی هکرها رو بگیرید. حالا باید صبر کنیم ببینیم تست‌های بعدی چطور پیش میره و کی قراره همگانی بشه.

منبع: +