Anthropic'in yapay zeka modeli Claude Mythos Preview'un halk için fazla tehlikeli olduğu düşünülüyor; en azından şirketin bu karmaşık yapay zeka güvenlik açığı araştırmasına neden yalnızca sınırlı erişim olduğuna dair açıklama yapmasının nedeni bu. İndirme aracı curl'un sorumlusu Daniel Stenberg de dahil olmak üzere seçilen kullanıcı ve projelerin Mythos'u test etmesine izin verildi. Mythos onu tam olarak bir kez buldu.
Reklamdan sonra devamını okuyun
Test çalışması şaşırtıcı çünkü yılın başında curl bakımcısı yapay zeka hata raporları şeklindeki “boktan raporlar”dan şikayet ediyordu ve bir yıl önce de onlardan “bıkmıştı”. Bu arada, HackerOne'daki hata ödül programını bile durdurdu, ancak sonunda oraya geri döndü çünkü hata yönetimi, örneğin GitHub'dan daha iyi çalışıyor.
Glasswing projesinin bir parçası olarak Stenberg'e erişim izni verilecekti. Stenberg blogunda, kurulum sırasında yaşanan aksaklıkların ardından üçüncü bir tarafın kıvrılma kaynaklarını kullanarak testi devraldığını yazıyor.
curl: İyi asılı kod
Stenberg, curl'u zaten “normal” statik kod analiz araçlarına ek olarak, çok seçici derleyici seçeneklerini ayarlayarak veya yıllardır fuzzing kullanarak birkaç farklı ve yetenekli AI aracıyla incelediklerine dikkat çekiyor. Bu araçlarla, son sekiz ila on ayda yaklaşık 200 ila 300 hata keşfedildi ve ilgili hata düzeltmeleri curl ile birleştirildi. Bu raporların birçoğu doğrulanmış güvenlik açıklarıdır ve CVE girişleri almıştır.
Geliştiriciler ayrıca çekme isteklerini incelemek için GitHub'un Copilot ve Augment Code gibi araçları da kullanıyor. Yorumları ve bulguları kodun iyileştirilmesine ve birleştirme hatalarının önlenmesine yardımcı olur. Bu hala oluyor, ancak inceleme robotları düzenli olarak programcıların daha sonra çözeceği sorunları vurguluyor. Stenberg'in burada vurgulamak istediği, yapay zeka incelemelerinin insan incelemelerine ek olarak kullanıldığıdır; sadece yardım ederler ve insanların yerini almazlar. Artık projeye çok sayıda yüksek kaliteli güvenlik raporunun aktığını görüyor ve BT güvenlik araştırmacıları artık yapay zekayı kapsamlı ve etkili bir şekilde kullanıyor.
Mythos ile yapılan taramada raporda beş bulgu ortaya çıktı, diye devam ediyor Stenberg. Daha fazlasını beklerlerdi. Kendisi ve güvenlik ekibi daha sonra bildirilen sorunları birkaç saat boyunca incelediler ve doğrulanmış bir güvenlik açığına ulaştılar. Diğer dördünden üçü yanlış pozitifti – bunlar zaten API belgelerinde açıklanmıştı – ve dördüncüsünde programcılar bunun sadece bir hata olduğu sonucuna vardılar.
Reklamdan sonra devamını okuyun
Stenberg, kalan güvenlik açığının ciddiyet seviyesi “düşük” olan bir CVE girişi alacağını memnuniyetle sürdürüyor. Haziran ayı sonunda 8.21.0 kıvrımında kapatılacaktır. İlgilenenler, Stenberg'in blog girişinde Mythos raporundan daha fazla sınıflandırma ve ayrıntının yanı sıra daha fazla bilgi bulabilirler. Sonuçta Stenberg uzlaşmacı olmaya devam ediyor. Yapay zeka artık önemli ölçüde daha iyi hale geldi ve aslında yararlı bir araç.
(DMK)
Bir yanıt yazın