Phát hiện lỗ hổng bảo mật tồn tại hơn 20 năm nhờ AI
Với sự trợ giúp của trí tuệ nhân tạo, Google đã phát hiện một lỗ hổng bảo mật tồn tại hơn 20 năm trong dự án phần mềm mã nguồn mở được sử dụng rộng rãi.
Mới đây, Google đã công bố 26 lỗ hổng bảo mật được phát hiện trong OpenSSL - thư viện phần mềm mã nguồn mở được sử dụng rộng rãi để triển khai các giao thức bảo mật. Đây cũng là công cụ cốt lõi cho việc mã hóa và bảo vệ thông tin trong giao tiếp qua mạng Internet, ví dụ như khi truy cập các trang web qua giao thức HTTPS. Đáng chú ý là những lỗi bảo mật này được Google phát hiện nhờ sự trợ giúp của trí tuệ nhân tạo.
Theo gã khổng lồ tìm kiếm, từ năm 2023, công ty đã bắt đầu sử dụng AI để kiểm tra và phát hiện các lỗi bảo mật trên phần mềm. Google cho biết, các công cụ AI có thể kiểm tra và phát hiện lỗi bảo mật trên phần mềm một cách tự động thay vì phải kiểm tra thủ công như các lập trình viên con người.
Báo cáo của Google cho thấy, công ty đã sử dụng các công cụ AI để kiểm tra lỗi bảo mật trên 272 dự án phần mềm, từ đó phát hiện ra 26 lỗi bảo mật tồn tại trên OpenSSL. Đáng chú ý là trong 26 lỗi này có một lỗi bảo mật đã tồn tại trong hơn 20 năm qua mà ai phát hiện ra.
Cụ thể, lỗi bảo mật hơn 20 năm tuổi này có tên mã là CVE-2024-9143, liên quan đến việc kích hoạt phần mềm truy cập bộ nhớ ngoài giới hạn, có thể khiến phần mềm gặp lỗi hoặc tin tặc có thể lợi dụng để thực thi các đoạn mã độc.
"Chúng tôi đã báo cáo các lỗ hổng bảo mật này cho nhóm phát triển OpenSSL và bản vá lỗi đã được phát hành. Chúng tôi nhận thấy lỗ hổng này đã tồn tại trong hơn hai thập kỷ và không thể phát hiện bằng cách thức thủ công mà con người vẫn áp dụng lâu nay" - đại diện của Google chia sẻ.
Google không chỉ dừng lại ở việc sử dụng AI để hỗ trợ con người mà còn hướng tới mục tiêu tạo ra các công cụ AI hoàn toàn tự chủ. Theo Google, mục tiêu của công ty trong tương lai là phát triển các công cụ AI có thể kiểm tra và phát hiện lỗi bảo mật trên phần mềm hoàn toàn tự động, không cần có sự xem xét lại của con người. Các công cụ AI này cũng sẽ tự động gửi báo cáo lỗi bảo mật đến nhà phát triển của phần mềm gặp lỗi và hỗ trợ họ tạo ra các bản vá lỗi nếu cần.
Theo P.L