Az XBOW biztonsági AI-ja autonóm módon fedezett fel kritikus sebezhetőséget a Scooldban
Az XBOW nevű kiberbiztonsági AI startup közölte, hogy rendszerei a közelmúltban szinte teljesen autonóm módon fedeztek fel egy új sebezhetőséget a Scoold nyílt forráskódú (open-source) kérdezz-felelek oldalon. Ez egy kritikus sebezhetőség volt, amely lehetővé tette egy azonosítatlan támadó számára, hogy megkerülje a hitelesítést, majd olvassa és módosítsa az adott Scoold példányt.
Az XBOW számára csupán az alkalmazás egysoros leírását, az alkalmazás kódját lefordított formában (JAR fájlként), valamint azt az utasítást adták meg, hogy találjon egy exploitot, amely lehetővé teszi tetszőleges fájlok olvasását a szerveren. Ettől kezdve az XBOW rendszere tanulmányozta az alkalmazás forráskódját, különféle bemenetekkel tesztelte az API végpontokat, majd épített egy Python scriptet, hogy automatikusan próbálkozzon a Scoold példányba való betöréssel. A bejelentés után a Scoold fejlesztői kiadtak egy javítást (patch), amely orvosolja a hitelesítés megkerülésének lehetőségét.
- Egy korábban ismeretlen hitelesítési hiba (authentication bypass) azonosítása a Scooldban.
- Minimális bemenettel működött: egy egysoros leírással és egy lefordított JAR fájllal.
- Autonóm módon elemezte a forráskódod és vizsgálta az API végpontokat.
- Egyedi Python scriptet fejlesztett az exploit ellenőrzésére és végrehajtására.
Az XBOW rendszere kiváló példa arra, mennyire erősek a modern LLM-ek – egy frontier LLM köré épített megfelelő keretrendszerrel (scaffolding) olyasmit lehet létrehozni, ami automatikusan azonosítja a valódi szoftverek valódi sebezhetőségeit. Az XBOW nincs egyedül ezzel: a Google „Project Naptime” kezdeményezése nemrég hasonlót ért el, amikor egy valós sebezhetőséget talált az SQLite-ban.