شکارچی باگ هوش مصنوعی

یک ابزار شکار باگ مبتنی بر هوش مصنوعی که توانسته با سرعتی فراتر از بازبین‌های انسانی عمل کند، نظر شرکت‌هایی مانند «تویوتا»، «والت دیزنی»، «IBM» و ده‌ها سازمان بزرگ دیگر را به خود جلب کرده است. این ابزار که «Xbow» نام دارد، هم‌اکنون در صدر جدول رده‌بندی پلتفرم «HackerOne» قرار گرفته است؛ پلتفرمی که هکرهای اخلاق‌مدار را با شرکت‌هایی که نرم‌افزارهای آن‌ها دارای شکاف‌های امنیتی بالقوه هستند، متصل می‌کند.

موفقیت چشمگیر «Xbow» و جذب سرمایه سیلیکون ولی

«Xbow» توسط یک استارتاپ امنیت سایبری هم‌نام توسعه یافته که اخیراً بیش از ۱۱۷ میلیون دلار سرمایه از «نت فریدمن»، مدیرعامل پیشین «گیت‌هاب»، و شرکت سرمایه‌گذاری «Sequoia Capital» جذب کرده است. این استارتاپ، کمتر از یک سال پیش «Xbow» را معرفی کرد و تنها چند هفته پس از آن، «اوگه دِ مور» بنیان‌گذار و مدیرعامل شرکت اعلام کرد این ابزار به سطحی از توانایی رسیده که با «قابلیت‌های یک پنتستر انسانی برجسته» برابری می‌کند. اکنون گزارش شده که «Xbow» عملکردی فراتر از زبده‌ترین بازبین‌های انسانی نرم‌افزارها دارد.

رکوردشکنی در «HackerOne» و آمار باورنکردنی

با قرار گرفتن در صدر جدول «HackerOne»، «Xbow» اکنون از امتیاز اعتبار (Reputation) معادل ۲۰۵۹ برخوردار است؛ معیاری که برای ارزیابی صحت و اهمیت گزارش‌های باگ به کار می‌رود و تقریباً ۲۵ درصد بالاتر از امتیاز بازبین انسانی در رتبه دوم است. تا تاریخ چهارشنبه، ۲۵ ژوئن، «Xbow» موفق به شناسایی و ثبت ۱۳۲ نقص نرم‌افزاری رفع‌شده شده بود و ۳۰۳ مورد دیگر از یافته‌هایش در مرحله بررسی و انتظار برای رفع قرار داشت. این آسیب‌پذیری‌ها شامل مواردی نظیر تزریق SQL، اسکریپت‌نویسی بین‌سایتی (XSS)، مسموم‌سازی کش، اجرای کد از راه دور و مواردی دیگر است.

از میان باگ‌های گزارش‌شده توسط «Xbow»، شرکت «تویوتا» تاکنون ۲ مورد از ۱۰ مورد را رفع کرده است، شرکت «والت دیزنی» ۲۲ مورد از ۲۴ مورد را و «IBM» نیز ۳ مورد از ۵ مورد را برطرف کرده است. شرکت‌های بزرگی همچون «AT&T»، «اپیک گیمز»، «فورد»، «پی‌پال»، «سونی»، «اسپاتیفای» و «تامسون رویترز» نیز در فهرست دریافت‌کنندگان گزارش‌های «Xbow» قرار دارند.

هوش مصنوعی برای اولین بار نفر اول هکرهای آمریکا

در یکی از پست‌های منتشرشده توسط حساب رسمی «Xbow» در پلتفرم «X» (توییتر سابق) آمده است: «برای اولین بار در تاریخ، نفر اول فهرست هکرهای ایالات متحده، یک هوش مصنوعی است.»

چالش‌های پیش روی «Xbow» در تمایز باگ‌ها

با این حال، همه یافته‌های «Xbow» فوراً قابل اقدام نیستند. بیش از ۲۰۰ مورد از یافته‌های آن به‌عنوان «تکراری» (یعنی پیش‌تر توسط فرد دیگری شناسایی شده‌اند) علامت‌گذاری شده‌اند و حدود ۲۰۰ مورد دیگر نیز به عنوان «اطلاع‌رسانی» یا «informative» طبقه‌بندی می‌شوند. این موضوع نشان می‌دهد فرایند شکار باگ «Xbow» در تمایز بین آسیب‌پذیری‌های جدید و قبلاً گزارش‌شده، گاه چندان دقیق عمل نمی‌کند و بنابراین سازمان‌های دریافت‌کننده باید بخشی از گزارش‌های غیرعملیاتی را نیز بررسی کنند.

بااین‌حال، گزارش‌های «Xbow» دست‌کم همگی مبتنی بر آسیب‌پذیری‌های واقعی هستند. به گفته «نیکو وایسمن»، رئیس امنیت «Xbow»، این ابزار مجهز به مجموعه‌ای از «بازبین‌های خودکار» است که صحت هر گزارش را پیش از ارسال تأیید می‌کنند. در نتیجه، تیم «Xbow» تنها در ۳۶ مورد مجبور به بستن دستی گزارش‌ها شده است.