Điều gì khiến cộng đồng bảo mật “rùng mình” với AI mới của Google?

[Trương Quang]

Nếu một ngày phần mềm tự biết sửa lỗi trước khi hacker kịp tấn công thì sao?​

Google DeepMind vừa giới thiệu CodeMender, một công cụ AI mới có khả năng tự động tìm và sửa các lỗ hổng bảo mật trong mã phần mềm không chỉ phản ứng khi lỗi đã xuất hiện, mà còn chủ động ngăn lỗi xảy ra. Trong sáu tháng qua, CodeMender đã đóng góp 72 bản vá bảo mật cho các dự án nguồn mở nổi tiếng, mở ra hướng đi hoàn toàn mới trong cách phần mềm được bảo vệ.

Việc phát hiện và khắc phục lỗ hổng bảo mật luôn là nhiệm vụ phức tạp và tốn kém, ngay cả với những công cụ tự động truyền thống như fuzzing. Google DeepMind từng đạt được nhiều kết quả trong việc phát hiện lỗi zero day, nhưng điều đó lại khiến các nhóm phát triển bị “ngộp” trong khối lượng bản vá cần xử lý. CodeMender ra đời để gỡ nút thắt này.

Công cụ hoạt động như một tác nhân AI tự chủ, được trang bị mô hình Gemini Deep Think mới nhất của Google. Nó có thể:

• Tự suy luận, đọc hiểu và phân tích mã nguồn phức tạp
• Sửa lỗi vừa được phát hiện hoặc viết lại toàn bộ phần mã yếu để loại trừ khả năng bị khai thác
• Xác thực từng thay đổi để đảm bảo bản vá chính xác, không tạo ra lỗi mới

Quy trình kiểm tra nghiêm ngặt đến mức chỉ những bản sửa đạt chuẩn cao nhất mới được gửi cho con người kiểm duyệt cuối cùng.

AI “vá lỗi trước khi lỗi xuất hiện”​

Một trong những ví dụ đáng chú ý là khi CodeMender xử lý một lỗ hổng tràn bộ nhớ heap. Trong khi lỗi gốc nằm ở phần mã XML phức tạp và khó truy ra, AI đã phát hiện chính xác vị trí sai, tự thiết kế bản vá hợp lý chỉ với vài dòng thay đổi.

Không dừng ở đó, CodeMender còn chủ động gia cố mã nguồn, chẳng hạn thêm các chú thích bảo mật “fbounds-safety” vào thư viện nén ảnh libwebp vốn từng là tâm điểm của một cuộc tấn công zero click trên iOS. Với cải tiến này, những lỗi tương tự gần như không thể bị khai thác lại.

Điều đáng kinh ngạc là CodeMender không chỉ vá lỗi, mà còn biết tự điều chỉnh khi phát hiện bản vá gây lỗi phụ. Nó phân tích phản hồi, sửa lại chính mình và thử giải pháp khác một quá trình mà trước đây chỉ con người có thể làm được.

Từ phòng thí nghiệm đến cộng đồng nguồn mở​

Dù kết quả ban đầu rất khả quan, DeepMind vẫn tiến hành thận trọng. Mọi bản vá do CodeMender tạo ra hiện đều được chuyên gia xem xét kỹ trước khi gửi cho các dự án nguồn mở. Nhóm nghiên cứu dự định sẽ mở rộng thử nghiệm và chia sẻ công cụ này với cộng đồng, hướng tới mục tiêu cuối cùng: bất kỳ nhà phát triển nào cũng có thể dùng AI để bảo vệ phần mềm của mình.

Nếu điều này trở thành hiện thực, có thể trong tương lai gần, AI không chỉ phát hiện lỗ hổng mà còn vá chúng ngay khi vừa được sinh ra. Và biết đâu, một ngày nào đó, phần mềm ở Việt Nam cũng có thể tự sửa mình trước khi bị tấn công.
Nguồn: Artificialintelligence