خانه » برنامه Patch the Planet شرکت OpenAI برای اصلاح آسیب‌پذیری‌های نرم‌افزارهای متن‌باز راه‌اندازی شد

برنامه Patch the Planet شرکت OpenAI برای اصلاح آسیب‌پذیری‌های نرم‌افزارهای متن‌باز راه‌اندازی شد

توسط Vulnerbyte_News
19 بازدید

در حالی که سازمان‌ها بیش از هر زمان دیگری با ریسک‌های ناشی از آسیب‌پذیری‌های پنهان در زنجیره تأمین نرم‌افزار مواجه هستند، OpenAI برنامه Patch the Planet را با همکاری شرکت امنیت سایبری Trail of Bits راه‌اندازی کرده است؛ ابتکاری که از ترکیب هوش مصنوعی (AI) و ارزیابی تخصصی پژوهشگران امنیتی برای شناسایی، اعتبارسنجی و اصلاح آسیب‌پذیری‌ها در نرم‌افزارهای متن‌باز پرکاربرد بهره می‌برد.

برنامه Patch the Planet با هدف تسریع فرآیند شناسایی ضعف‌های امنیتی، توسعه پچ‌های امنیتی قابل‌اعتماد و کاهش ریسک حملات زنجیره تأمین طراحی شده است.

مشارکت پروژه‌های زیرساختی متن‌باز در برنامه Patch the Planet

در مرحله نخست، پروژه‌هایی از جمله Python، Go، cURL، Sigstore، NATS Server، aiohttp، freenginx، pyca/cryptography و python.org به این برنامه Patch the Planet پیوسته‌اند. این پروژه‌ها از بخش‌های کلیدی زیرساخت‌های توسعه نرم‌افزار، ارتباطات شبکه‌ای، رمزنگاری و زنجیره تأمین نرم‌افزار محسوب می‌شوند و در طیف گسترده‌ای از نرم‌افزارها، سرویس‌ها و محیط‌های سازمانی مورد استفاده قرار می‌گیرند.

به گفته OpenAI، در آغاز هر مشارکت، تیم‌های تحقیقاتی با توسعه‌دهندگان اصلی پروژه‌ها همکاری می‌کنند تا مهم‌ترین حوزه‌های نیازمند پشتیبانی امنیتی و ارزیابی عمیق‌تر شناسایی شوند. در ادامه، پژوهشگران امنیتی آسیب‌پذیری‌های بالقوه را بررسی می‌کنند، یافته‌های امنیتی مهم را اعتبارسنجی می‌کنند، پچ‌های امنیتی را توسعه داده یا بهبود می‌بخشند و در فرآیند آزمون و ارزیابی آن‌ها مشارکت دارند. همچنین افشای مسئولانه آسیب‌پذیری‌ها نیز از طریق کانال‌ها و سازوکارهای رسمی هر پروژه انجام خواهد شد.

نقش هوش مصنوعی و کارشناسان امنیتی در اعتبارسنجی آسیب‌پذیری‌ها

پژوهشگران امنیتی مشارکت‌کننده در این برنامه از مدل‌های هوش مصنوعی OpenAI و ابزار Codex Security برای تحلیل کد و تسریع فرآیند توسعه و انتشار پچ‌های امنیتی استفاده خواهند کرد. پیش از آنکه یافته‌ها برای توسعه‌دهندگان اصلی پروژه‌ها ارسال شوند، مهندسان Trail of Bits آن‌ها را به‌دقت بررسی می‌کنند تا گزارش‌های تکراری و موارد مثبت کاذب (False Positives) شناسایی و حذف شوند؛ اقدامی که از تحمیل بار کاری غیرضروری به پروژه‌های متن‌باز جلوگیری می‌کند.

همچنین OpenAI برای پشتیبانی از اولویت‌بندی و ارزیابی آسیب‌پذیری‌ها، افشای هماهنگ‌شده آسیب‌پذیری‌ها و گسترش فعالیت‌های مرتبط با شناسایی ضعف‌های امنیتی، با HackerOne و Calif همکاری می‌کند. این همکاری‌ها هم‌زمان با توسعه و گسترش برنامه Patch the Planet افزایش خواهد یافت.

OpenAI اعلام کرده است که فعالیت‌های انجام‌شده در قالب این برنامه تاکنون منجر به شناسایی صدها آسیب‌پذیری‌ و ضعف امنیتی شده است و ده‌ها پچ امنیتی نیز پس از تأیید در پروژه‌های مربوطه ادغام (Merge) شده‌اند. به گفته این شرکت، شمار قابل‌توجهی از یافته‌های دیگر نیز همچنان در مرحله افشای هماهنگ‌شده آسیب‌پذیری‌ها قرار دارند.

همچنین به گفته این شرکت، خروجی این فعالیت‌ها فقط به شناسایی آسیب‌پذیری محدود نبوده و ابزارهایی برای فازینگ (Fuzzing)، تحلیل سوابق آسیب‌پذیری‌ها و شناسه‌های CVE و آزمون تفاضلی (Differential Testing) نیز از دل این روند ایجاد شده است.

برنامه Patch the Planet چه تأثیری بر مدیریت ریسک زنجیره تأمین نرم‌افزار دارد؟

تمرکز OpenAI بر امنیت نرم‌افزارهای متن‌باز در پی رخدادهایی مانند آسیب‌پذیری Log4Shell و ماجرای بکدور در XZ Utils شکل گرفته است؛ رخدادهایی که به‌خوبی نشان دادند یک ضعف امنیتی در یک کامپوننت مشترک و پرکاربرد تا چه اندازه می‌تواند به‌سرعت در زنجیره تأمین نرم‌افزار گسترش یابد و طیف وسیعی از محصولات و سرویس‌های سازمانی را تحت تأثیر قرار دهد.

با این حال، پژوهشگران معتقدند برنامه Patch the Planet تنها زمانی می‌تواند معادلات مدیریت ریسک را تغییر دهد که سازمان‌ها پژوهش آسیب‌پذیری مبتنی بر هوش مصنوعی را به‌عنوان بخشی از یک راهبرد جامع مدیریت ریسک زنجیره تأمین نرم‌افزار به کار گیرند، نه اینکه آن را جایگزین فرآیندها و کنترل‌های امنیتی موجود کنند.

طبق گزارش پژوهشگران، مهم‌ترین مزیت این رویکرد افزایش سرعت در شناسایی، اعتبارسنجی، اصلاح، آزمون و مستندسازی آسیب‌پذیری‌ها است. بازبینی انسانی نیز با حذف موارد مثبت کاذب پیش از ارسال گزارش‌ها به توسعه‌دهندگان اصلی پروژه‌ها، از تحمیل بار کاری غیرضروری به تیم‌های توسعه جلوگیری می‌کند.

پژوهشگران تأکید می‌کنند که اتکا به تخصص انسانی از بین نخواهد رفت؛ بلکه نقش کارشناسان به حوزه‌هایی مانند تریاژ (Triage) و اولویت‌بندی آسیب‌پذیری‌ها، ارزیابی قابلیت اکسپلویت، بررسی ایمنی پچ‌ها، تعیین زمان مناسب برای افشای آسیب‌پذیری‌ها و استقرار پچ‌ها در محیط‌های عملیاتی منتقل خواهد شد.

ضرورت ایجاد سازوکارهای حاکمیتی پیش از به‌کارگیری هوش مصنوعی

به گفته پژوهشگران، مدیران ارشد امنیت اطلاعات (CISO) باید پیش از به‌کارگیری پژوهش آسیب‌پذیری مبتنی بر هوش مصنوعی در فرآیندهای امنیتی سازمان، کنترل‌ها و سازوکارهای حاکمیتی مناسبی را پیاده‌سازی کنند تا یافته‌ها و گزارش‌های تأییدنشده باعث افزایش بار کاری تیم‌های مهندسی نشوند.

پژوهشگران معتقدند سازمان‌ها باید در مدل‌های مدیریت ریسک خود لایه‌ای با عنوان لایه ارزیابی ارتباط امنیتی (Safety Relevance Layer) را در نظر بگیرند. این لایه یک فریم‌ورک ساختاریافته است که تمامی یافته‌های تولیدشده توسط هوش مصنوعی را ملزم می‌کند پیش از ارجاع به تحلیلگران انسانی، مراحل اعتبارسنجی خودکار را پشت سر بگذارند. این فرآیند شامل اعتبارسنجی پویا از طریق اثبات مفهوم (Dynamic PoC Validation) و همچنین مکانیزم‌های قدرتمند برای شناسایی و حذف موارد مثبت کاذب است.

همچنین پژوهشگران هشدار می‌دهند که این کنترل‌ها نباید تنها به اعتبارسنجی یافته‌ها محدود شوند و باید فرآیند افشای آسیب‌پذیری‌ها را نیز پوشش دهند؛ به‌ویژه در مواردی که ابزارهای هوش مصنوعی ضعفی را در کامپوننت‌‎های متن‌باز شخص ثالث شناسایی می‌کنند؛ کامپوننت‌‌هایی که خارج از کنترل مستقیم سازمان قرار دارند.

سازمان‌ها باید از قبل مسیرهای مشخصی برای ارجاع و پیگیری رخدادها، زمان‌بندی اطلاع‌رسانی و تقسیم مسئولیت‌ها تعریف کنند، تا پس از تأیید یک آسیب‌پذیری در وابستگی‌های خارجی، فرآیند واکنش، اطلاع‌رسانی و پیگیری به‌صورت شفاف، قابل‌ردیابی و از پیش تعیین‌شده انجام شود.

حرکت به سمت کاهش مستمر سطح مواجهه با ریسک

به گفته پژوهشگران، گسترش پژوهش آسیب‌پذیری مبتنی بر هوش مصنوعی می‌تواند سازمان‌ها را وادار کند تا از چرخه‌های دوره‌ای انتشار پچ فاصله بگیرند و به سمت ارزیابی مستمر ریسک حرکت کنند. اگر تحلیل واریانت‌ها (Variant Analysis) و آزمون تفاضلی که پیش‌تر هفته‌ها زمان نیاز داشت، در عرض چند روز انجام شود، تیم‌های امنیتی نیز باید روش‌های سریع‌تر و دقیق‌تری برای تشخیص و اولویت‌بندی یافته‌های مهم در محیط‌های خود در اختیار داشته باشند.

این تحول به این معناست که سازمان‌ها دیگر نمی‌توانند تنها بر امتیازهای عمومی سیستم CVSS برای اولویت‌بندی اقدامات اصلاحی تکیه کنند. هر آسیب‌پذیری باید با در نظر گرفتن سامانه تحت تأثیر، نقش آن در کسب‌وکار، میزان مواجهه آن در محیط عملیاتی و احتمال سوءاستفاده مهاجمان از آن مورد ارزیابی قرار گیرد.

سازمان‌ها باید به سمت اولویت‌بندی آسیب‌پذیری‌ها بر اساس شرایط واقعی هر محیط و اهمیت امنیتی آن‌ها حرکت کنند. در این چارچوب، SBOM و VEX باید از اسناد ایستا و انطباق‌محور به منابع داده پویا و عملیاتی تبدیل شوند که امکان ارزیابی مستمر ریسک را فراهم می‌کنند. در محیط‌های مبتنی بر هوش مصنوعی نیز این موضوع مستلزم توسعه مدل VEX برای پوشش ریسک‌های جدیدی است که توسط سامانه‌های هوش مصنوعی ایجاد می‌شوند.

همچنین برنامه‌های مدیریت آسیب‌پذیری باید بیش از گذشته با مسئولیت‌پذیری مالکان نرم‌افزار، نحوه پاسخ‌گویی تأمین‌کنندگان و پیامدهای تجاری هر آسیب‌پذیری همسو شوند.

به اعتقاد پژوهشگران، تیم‌های امنیتی باید رویکرد سنتی رسیدگی دوره‌ای به آسیب‌پذیری‌ها را کنار گذاشته و به سمت کاهش مستمر سطح مواجهه با ریسک (Continuous Exposure Reduction) حرکت کنند؛ رویکردی که برنامه Patch the Planet نیز با بهره‌گیری از هوش مصنوعی در مسیر تحقق و تسریع آن گام برمی‌دارد.

در این رویکرد، SBOMها نباید صرفاً به‌عنوان اسناد انطباقی و ایستا در نظر گرفته شوند، بلکه باید به تصویری پویا از دارایی‌ها و کامپوننت‌های نرم‌افزاری سازمان تبدیل گردند؛ تصویری که وضعیت واقعی سامانه‌ها، میزان مواجهه آن‌ها با ریسک و نحوه واکنش تأمین‌کنندگان نرم‌افزار را نشان می‌دهد. همچنین تصمیم‌گیری درباره اعمال پچ‌ها باید عواملی مانند اهمیت دارایی، قابلیت اکسپلویت، تدابیر امنیتی جایگزین و تأثیرات کسب‌وکاری را نیز در نظر بگیرد.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید