AI ဟာ developer တွေအတွက် ကုဒ်ရေးရာမှာ အဆင်ပြေအောင် ကူညီပေးနိုင်သလိုပဲ၊ တစ်ဖက်မှာလည်း Hacker တွေအတွက် လက်နက်ကောင်းတစ်ခု ဖြစ်လာနေပါပြီ။ လတ်တလောမှာ Google ရဲ့ Threat Intelligence Group (GTIG) က နေပြီးတော့ 2FA (Two-Factor Authentication) ကို ကျော်ဖြတ်နိုင်တဲ့ zero-day exploit တစ်ခုကို တွေ့ရှိခဲ့ပါတယ်။ ထူးခြားတာက အဲဒီ exploit ဟာ AI model ရဲ့ အကူအညီနဲ့ ဖန်တီးထားတာ ဖြစ်နိုင်တယ်လို့ Google က ယူဆနေတာပါ။
ဘာတွေ ဖြစ်ခဲ့တာလဲ?
ဒီ exploit ကို Python နဲ့ ရေးသားထားတာဖြစ်ပြီး popular ဖြစ်တဲ့ open-source web-based system administration tool တစ်ခုကို ပစ်မှတ်ထားခဲ့တာပါ။ ပုံမှန်ဆိုရင် 2FA ရှိနေတဲ့အတွက် user credentials ရရုံနဲ့ account ထဲကို ဝင်ဖို့ မလွယ်ကူပေမယ့်၊ ဒီ exploit က 2FA logic ကို ကျော်ဖြတ်သွားနိုင်တာပါ။ တိုက်ခိုက်သူတွေဟာ ဒါကို အကြီးအကျယ် အသုံးချဖို့ ပြင်ဆင်နေချိန်မှာပဲ Google က vendor နဲ့ ပူးပေါင်းပြီး ဒီ vulnerability ကို ပိတ်နိုင်ခဲ့ပါတယ်။
ဒါ AI ရေးတာလို့ ဘာလို့ သိရတာလဲ?
Code ရဲ့ သဘောသဘာဝမှာ AI ရဲ့ လက်ချက်ဆိုတာ သိသာစေတဲ့ အချက်အလက်အချို့ ရှိနေပါတယ်:
Detailed Docstrings: ကုဒ်မှာ ပါဝင်တဲ့ ရှင်းလင်းချက်တွေက LLM training data တွေမှာ တွေ့ရလေ့ရှိတဲ့ ပုံစံမျိုး သေသေသပ်သပ် ရှိနေတာပါ။
Hallucination: ထူးခြားတာက exploit script ထဲမှာ CVSS score (Security အားနည်းချက် အဆင့်သတ်မှတ်ချက်) တွေကို မှားယွင်းစွာ ထည့်သွင်းထားတာ တွေ့ရပါတယ်။ ဒါဟာ AI model တွေရဲ့ ထုံးစံအတိုင်း မသိတာကို သိသလိုလိုနဲ့ ‘ယောင်မှား’ (hallucinate) ပြီး ရေးပေးလိုက်တာပါ။
Clean Structure: ANSI color class တွေနဲ့ သေသပ်တဲ့ help menus တွေ ပါဝင်နေတာဟာ ပုံမှန် hacker တစ်ယောက် အလျင်စလို ရေးတဲ့ပုံစံမျိုး မဟုတ်ဘဲ AI-generated code ပုံစံမျိုး ဖြစ်နေပါတယ်။
Logic Flaw: AI ရဲ့ အားသာချက်
ဒီ vulnerability က ပုံမှန် memory corruption ဒါမှမဟုတ် input sanitization အမှားတွေကြောင့် ဖြစ်တာ မဟုတ်ပါဘူး။ ဒါဟာ High-level logic flaw တစ်ခုပါ။ Application ရဲ့ authentication flow ထဲမှာ hardcoded လုပ်ထားတဲ့ trust assumption တစ်ခုကို အသုံးချသွားတာ ဖြစ်ပါတယ်။
ပုံမှန် scanner တွေနဲ့ static analysis tool တွေဟာ software crash ဖြစ်စေမယ့် bug တွေကို ရှာတာ တော်ပေမယ့်၊ ဒီလို logic အမှားတွေကို ရှာဖို့ ခက်ခဲပါတယ်။ AI ကတော့ application တစ်ခုလုံးရဲ့ logic ကို ခြုံငုံသုံးသပ်ပြီး ‘ပုံမှန်မဟုတ်တဲ့ ခြွင်းချက်’ တွေကို ရှာဖွေနိုင်စွမ်း ရှိတာကြောင့် ဒီလို bug မျိုးကို ပိုတွေ့နိုင်တာပါ။
အဆိုးထဲက အကောင်း
တိုက်ခိုက်သူတွေဘက်က China နဲ့ North Korea နဲ့ ဆက်နွှယ်တဲ့ hacker group တွေဟာ AI ကို အသုံးပြုပြီး vulnerability တွေကို ရှာဖွေဖို့ စမ်းသပ်နေကြတာ အမှန်ပဲဖြစ်ပါတယ်။ ဒါပေမယ့် စိတ်မပူပါနဲ့။ Google ဘက်မှာလည်း **Big Sleep** နဲ့ **CodeMender** လိုမျိုး AI tool တွေသုံးပြီး software vulnerabilities တွေကို ကြိုတင်ရှာဖွေတာနဲ့ အလိုအလျောက် fix လုပ်ပေးတာတွေကို လုပ်ဆောင်နေပါတယ်။
Developer များအတွက် သင်ခန်းစာ
ကျွန်တော်တို့ developer တွေအနေနဲ့ အခုဆိုရင် logic flaw တွေကို ပိုပြီး ဂရုစိုက်ရတော့မှာပါ။ ကုဒ်ရေးတဲ့အခါ ‘ယုံကြည်ရတဲ့ ခြွင်းချက်’ (trusted exceptions) တွေကို logic ထဲမှာ ထည့်တဲ့အခါ ဒါဟာ တကယ်ပဲ လုံခြုံရဲ့လားဆိုတာကို threat modelling လုပ်ဖို့ လိုအပ်လာပါပြီ။ AI ဟာ ကျွန်တော်တို့ရဲ့ tool တစ်ခုဖြစ်သလို၊ တစ်ဖက်မှာလည်း အားနည်းချက်တွေကို ရှာဖွေပေးမယ့် ‘Senior Auditor’ တစ်ယောက်လို ဖြစ်လာတာကြောင့် ကုဒ်ရဲ့ logic ကို ပိုမိုခိုင်မာအောင် တည်ဆောက်ကြရမှာ ဖြစ်ပါတယ်။
