Технический директор Microsoft Azure Марк Руссинович заявил об успешной реконструкции и поиске уязвимостей в старом коде с помощью ИИ. Он привёл в качестве примера собственный код Apple II 40-летней давности.
В мае 1986 года Руссинович написал утилиту Enhancer для персонального компьютера Apple II. Утилита на машинном языке 6502 добавила возможность использования переменной или выражения BASIC для указания адреса команды GOTO, GOSUB или RESTORE, тогда как без модификации Applesoft BASIC принимал только номер строки.
Руссинович поручил Claude Opus 4.6 проверить код. Программа декомпилировала машинный язык и обнаружила несколько проблем безопасности, включая случай «скрытого некорректного поведения», когда, если целевая строка не была найдена, программа устанавливала указатель на следующую строку или за конец программы, вместо того чтобы сообщать об ошибке. Решением могло бы стать проверка флага переноса, который устанавливается, если строка не найдена, и переход к ошибке.
«К моему удивлению, ИИ не просто декомпилировал машинный язык 6502; он восстановил логику с точными метками и комментариями, фактически “прочитав” замысел кода, написанного четыре десятилетия назад. Ещё более впечатляющим был аудит безопасности», — написал СТО.
По словам комментаторов, способность ИИ декомпилировать встроенный код и находить уязвимости вызывает опасения. «В мире существуют миллиарды устаревших микроконтроллеров, многие из которых, вероятно, работают на хрупком или плохо проверенном прошивочном ПО, подобном этому», — отметил один из них.
После того, как Anthropic представила Claude Opus 4.6, компания предупредила о проблеме быстрого обнаружения ИИ уязвимостей, которые могут быть использованы хакерами.
«Когда мы настроили Opus 4.6 на проверку наиболее хорошо протестированных кодовых баз (проектов, в которых фаззеры работали годами, накопив миллионы часов процессорного времени), Opus 4.6 обнаружил серьёзные уязвимости, некоторые из которых оставались незамеченными десятилетиями», — заявила команда Red Team компании, отвечающая за повышение осведомленности общественности о рисках, связанных с ИИ. Там предположили, что «сейчас самое время действовать быстро... чтобы защитить как можно больше кода, пока есть такая возможность». В марте Anthropic представила инструмент проверки кода на основе ИИ, предназначенный для выявления ошибок до того, как они попадут в кодовую базу программного обеспечения. Новый продукт под названием Code Review уже запустили в Claude Code.
Такой подход может сработать для таких известных проектов с открытым исходным кодом, как Mozilla Firefox, где ИИ обнаружил 14 серьёзных ошибок, но он нереалистичен для большей части старого кода, который продолжает работать, например, на встроенных устройствах или в устаревших приложениях.
В прошлом месяце Anthropic заявила: «Мы ожидаем, что значительная часть мирового кода будет проверена ИИ в ближайшем будущем, учитывая, насколько эффективными стали модели в обнаружении давно скрытых ошибок и проблем безопасности».
Однако в случае с опенсорсными проектами это может стать обременением для разработчиков. ИИ также хорошо справляется с обнаружением несуществующих или не имеющих отношения к делу проблем безопасности, создавая дополнительную нагрузку на них.
Ранее инженер Cloudflare Стив Фолкнер сообщил, что реализовал 94% API Next.js, управляя миграцией с помощью ИИ Claude и потратив на это около недели и $1100 на токены. Целью эксперимента было не только продемонстрировать возможности ИИ-программирования, но и решить проблему с Next.js, популярным фреймворком на основе React, спонсируемым Vercel.
А разработчик Дэн Бланшар, создатель Python‑библиотеки chardet для определения кодировки символов, представил обновлённую версию библиотеки под лицензией MIT вместо ранее применявшейся лицензии LGPL. Бланшар пояснил, что ИИ‑ассистент Claude от Anthropic. который теперь числится в списке контрибуторов, помог переписать библиотеку без использования оригинального кода. Это позволило разработчики проекта заменить копилефт лицензию на пермиссивную.
Наконец, директор по инжинирингу DNS в организации ISC Ондржей Cури подвёл итоги экспериментов по использованию Claude Code для анализа, исправления и модернизации кодовой базы DNS‑сервера BIND 9. Впечатления Сури от использования ИИ свелись к тому, что большие языковые модели хорошо подходят для быстрого создания прототипов, понимания незнакомого кода и автоматизации простых рутинных задач.
