חוקר ישראלי חשף חולשות בתשתיות תוכנה מרכזיות, בעזרת AI ובתקציב של 80 דולר בלבד
10 דצמבר, 2025
המחקר, שנערך במעבדות CyberArk, מציג שיטה חדשה לשילוב ניתוח סטטי ובינה מלאכותית המאפשרת לזהות חולשות אמיתיות במהירות וביעילות – ולסנן למעלה מ־90% מההתראות השגויות
בשבוע הקרוב יציג שמחה קוסמן, חוקר בכיר במעבדות המחקר של CyberArk, מחקר חדש בכנס BlackHat London – אחד מכנסי הסייבר החשובים בעולם, שבו מתקבלים רק מעט מחקרים מתוך מאות הגשות. במחקר הוא מדגים כיצד ניתן לרתום מודלי בינה מלאכותית לאיתור חולשות אבטחה בתוכנות בשימוש רחב, תוך צמצום דרמטי של עלות וזמן, ולמעשה להתחרות ביכולות של גופים כמו Google ו־OpenAI.
קוסמן וצוותו ביקשו לענות על שאלה פשוטה אך בוערת: האם אפשר להשתמש ב־AI כדי לאתר חולשות אמיתיות בתוכנות ענק – ליבת לינוקס, Redis, FFmpeg ועוד – בלי תקציבי עתק ובלי צוותים גדולים? התשובה שלהם היא כן, ובאופן מרשים: בתוך יומיים בלבד, ובעלות כוללת של פחות מ־80 דולר, הצליח הכלי שפיתחו להוביל לאיתור עשרות חולשות, שחלקן כבר תורגמו לתשעה מזהי CVE רשמיים בפרויקטים מרכזיים, בהם Linux Kernel, FFmpeg, Redis, RetroArch, Libretro, Bullet3 ו־Linenoise.
ליבת המחקר היא כלי חדש בשם Vulnhalla, המשוחרר בקוד פתוח. הכלי משלב בין CodeQL – כלי האנליזה הסטטית של GitHub, הנחשב לסטנדרט בתעשייה – לבין מודל בינה מלאכותית שתפקידו לסנן את רעש הרקע. CodeQL לבדו מפיק לעיתים עשרות אלפי התראות במאגר גדול, שרובן המכריע הן false positives. Vulnhalla נכנס בדיוק בנקודה הזו: הוא מנתח את תוצאות CodeQL, שולף באופן חכם את ההקשר הקוד הרלוונטי לכל התראה, ומשתמש במודל ה־AI כדי להחליט אילו ממצאים הם בעלי פוטנציאל ממשי לניצול.
במקום “לשאול את המודל” שאלה כללית כמו האם מדובר בחולשה, החוקרים מגדירים עבורו סדרת שאלות מנחות, המדמות את דרך החשיבה של חוקר אבטחה מנוסה: היכן מוגדר הבאפר, מה הגודל שלו, האם הוא משתנה, מה גודל היעד, האם קיימת זרימת נתונים שיכולה להוביל לחריגה מגבולות זיכרון, ועוד. גישה זו מאלצת את המודל לבצע הנמקה צעד־אחר־צעד, ולא להסתפק בזיהוי תבניות שטחי. לפי נתוני המחקר, השילוב הזה מצליח להפחית את שיעור ההתראות השגויות ביותר מ־90% בחלק מסוגי החולשות, ובמקרים מסוימים אף להגיע לכ־96% צמצום של false positives.
בכך מציב Vulnhalla חלופה מעניינת לכלים מתקדמים כמו Google Deep Sleep ו־OpenAI Aardvark: כלי שמציג ביצועים דומים בזיהוי חולשות, אך נסמך על תשתיות פתוחות ומוצע לקהילה בקוד פתוח. עבור צוותי פיתוח ואבטחה המתמודדים עם עומס הולך וגובר של התראות סריקה, הגישה הזו מאפשרת להתמקד במה שחשוב באמת – מספר קטן בהרבה של ממצאים שיש להם פוטנציאל ממשי להפוך לפרצות אבטחה בעולם האמיתי. לפי קוסמן, זהו צעד נוסף בדרך לשימוש יעיל בבינה מלאכותית לצמצום פערי האבטחה בתוכנות שכולנו משתמשים בהן מדי יום.
פורסם בקטגוריות: אבטחת סייבר , בינה מלאכותית , חדשות
