PWN AI

Затонувший континент, который научился чинить баги лучше людей - Atlantis.

Представьте ИИ, который берёт 54 миллиона строк кода, погружается в них и находит баги, пока вы спите. Звучит как фантастика? Нет - это команда Atlantis, победитель DARPA AIxCC.

Ранее вы видели интересный разбор Roboduck - инструмента с агентами для AppSec. Но Atlantis идёт дальше. Он доказал: ИИ реально умеет закрывать уязвимости почти как профи. Как профессиональный бариста, готовящий кофе по рецепту - почти безупречно, но иногда капля не туда.

Atlantis — это не одна монолитная система, а целый ансамбль систем. Несколько независимых агентов решают одну задачу, и их ошибки сглаживаются друг другом. Внутри есть агенты для C и Java, модули для фаззинга, патч-агенты, которые сами генерируют исправления, и сервис для красивых отчётов в SARIF.

Как работает система? Находит баг, система передаёт контекст, патч-агент предлагает исправление, код пересобирается, проверяется - и, если баг ушёл, фикс идёт в отчёт. Всё это масштабируется в облаках на Azure через Kubernetes. И да, бюджет был ограничен: из 💵50k на LLM 💵29k ушли на Patch-агенты и агенты которые работали с несколькими языками. Много кушает, но работает эффективно.

Агенты в этом случае не заменяют фаззинг — они его прокачивают📦. Они помогали создавать «обёртки» для функций, чтобы фаззер мог тестировать код, подсказывали уязвимые места и сами предлагали исправления. Классические методы брали на себя тяжёлую работу, проверяя каждую строчку.

Результат достаточно интересный: найдено 77 % багов, исправлено 61 %. Из патч-агентов: Мультиязычный — 69,2 %, C — 16,8 %, Java — 14 %.

Особая фишка — BGA (Blob Generation Agent), который не просто придумывал данные для фаззера, а создавал эксплойты, которые превращались в словари для поиска уязвимостей. Нулевые дни спрятались от страха в пыльном деревянном шкафу после этой новости.

Было и весело, и страшно. Один из компонентов ломался, если в пути встречалось слово «fuzz». На тестах всё ок, а на финале пайплайн встал. Починили буквально за пару часов до дедлайна. А ночные баги системы в Kubernetes-инфрастурктуре заставляли команду ловить ошибки в режиме ниндзя.

Сейчас такие проекты показывают, что ближайшее будущее AppSec - за гибридными системами. Когда интеллект человека, сила LLM и проверенные классические техники объединяются, баги уходят быстрее, точнее и надёжнее, чем когда-либо. И, честно говоря, это только начало.

Please open Telegram to view this post

VIEW IN TELEGRAM

1🔥9👍4🤡2

www.tgoop.com/pwnai/1008

5.62K viewsArtyom Semenov, Sep 2 at 19:43

Затонувший континент, который научился чинить баги лучше людей - Atlantis.

Представьте ИИ, который берёт 54 миллиона строк кода, погружается в них и находит баги, пока вы спите. Звучит как фантастика? Нет - это команда Atlantis, победитель DARPA AIxCC.

Ранее вы видели интересный разбор Roboduck - инструмента с агентами для AppSec. Но Atlantis идёт дальше. Он доказал: ИИ реально умеет закрывать уязвимости почти как профи. Как профессиональный бариста, готовящий кофе по рецепту - почти безупречно, но иногда капля не туда.

Atlantis — это не одна монолитная система, а целый ансамбль систем. Несколько независимых агентов решают одну задачу, и их ошибки сглаживаются друг другом. Внутри есть агенты для C и Java, модули для фаззинга, патч-агенты, которые сами генерируют исправления, и сервис для красивых отчётов в SARIF.

Как работает система? Находит баг, система передаёт контекст, патч-агент предлагает исправление, код пересобирается, проверяется - и, если баг ушёл, фикс идёт в отчёт. Всё это масштабируется в облаках на Azure через Kubernetes. И да, бюджет был ограничен: из 💵50k на LLM 💵29k ушли на Patch-агенты и агенты которые работали с несколькими языками. Много кушает, но работает эффективно.

Агенты в этом случае не заменяют фаззинг — они его прокачивают📦. Они помогали создавать «обёртки» для функций, чтобы фаззер мог тестировать код, подсказывали уязвимые места и сами предлагали исправления. Классические методы брали на себя тяжёлую работу, проверяя каждую строчку.

Результат достаточно интересный: найдено 77 % багов, исправлено 61 %. Из патч-агентов: Мультиязычный — 69,2 %, C — 16,8 %, Java — 14 %.

Особая фишка — BGA (Blob Generation Agent), который не просто придумывал данные для фаззера, а создавал эксплойты, которые превращались в словари для поиска уязвимостей. Нулевые дни спрятались от страха в пыльном деревянном шкафу после этой новости.

Было и весело, и страшно. Один из компонентов ломался, если в пути встречалось слово «fuzz». На тестах всё ок, а на финале пайплайн встал. Починили буквально за пару часов до дедлайна. А ночные баги системы в Kubernetes-инфрастурктуре заставляли команду ловить ошибки в режиме ниндзя.

Сейчас такие проекты показывают, что ближайшее будущее AppSec - за гибридными системами. Когда интеллект человека, сила LLM и проверенные классические техники объединяются, баги уходят быстрее, точнее и надёжнее, чем когда-либо. И, честно говоря, это только начало.