Az internet biztonságának egyik legfontosabb tartóoszlopáról derült ki, hogy tele volt repedésekkel, csak éppen senki nem nézett rá elég alaposan. Az OpenSSL, amely az HTTPS mögött álló titkosítási szabványok nagy részét biztosítja, tizenkét új sérülékenységet rejtegetett a kódjában, némelyiket egészen a kilencvenes évek végéig visszamenően. A hibákat nem egy megszállott fejlesztő, hanem egy mesterséges intelligenciával megtámogatott biztonsági csapat szúrta ki, és ezzel megint előkerült a kellemetlen kérdés: lehet, hogy a kibervédelemben már tényleg az ember a szűk keresztmetszet.
A felfedezést jegyző Aisle nevű cég szerint az AI-alapú elemzőeszközeik olyan kódrészletekben találtak problémákat, amelyeket generációk óta ezrek néztek át kézzel. Az OpenSSL-t használja a weboldalak túlnyomó többsége, tehát amikor a böngésző sarkában megjelenik a lakat ikon, jó eséllyel ez a könyvtár dolgozik a háttérben. Éppen ezért különösen nyugtalanító, hogy a most azonosított hibák között magas és közepes súlyosságúak is akadnak, amelyek bizonyos körülmények között akár távoli kódfuttatást is lehetővé tehettek volna.
A beszámoló szerint az AI nem egyszerűen kulcsszavakat keresett, hanem kontextusérzékenyen vizsgálta a kód működését, majd rangsorolta a gyanús részeket, hogy csökkentse a téves riasztások számát. Ez az a pont, ahol az emberi szem gyakran elfárad: több millió soros, évtizedek alatt toldozott-foltozott projektekben már nem könnyű átlátni, mi mihez kapcsolódik. A gép viszont türelmesen végigmegy mindenen, nem unja meg, nem felejt, és nem gondolja azt, hogy "ezt már biztos átnézte valaki".
A talált sérülékenységek listája elég változatos képet mutat. Akadt köztük veremtúlcsordulás, hiányzó paraméterellenőrzés, memóriakorrupció, sőt olyan összeomlást okozó hiba is, amely még az OpenSSL 1.0.2-es ágáig vezethető vissza. Magyarul olyan kódrészletekről beszélünk, amelyek akkor születtek, amikor a legtöbb mai felhasználó még az első e-mail címét sem regisztrálta. A javítások szerencsére már elkészültek, de a felismerés így is kellemetlen: ha most bukkantak rájuk, vajon hány hasonló időzített bomba lapul még más alapvető szoftverekben.
A történet óhatatlanul beleilleszkedik abba a trendbe, hogy az AI egyre inkább kétélű fegyver a kiberbiztonságban. Ugyanaz a technológia, amellyel bűnözők automatizálják a támadásokat, a védelem oldalán is megjelent, csak éppen jó célra használva. Néhány éve még futurisztikus ötletnek tűnt, hogy gépek kutassanak hibák után, ma pedig lassan ez lesz az iparági alap. Az emberek egyszerűen nem képesek olyan tempóban reagálni, ahogy a modern rendszerek bonyolódnak.
Közben ott motoszkál a nyugtalanító gondolat: ha az OpenSSL-ben, a digitális világ egyik legátvilágítottabb projektjében is évtizedekig megbújhattak ilyen hibák, akkor mi a helyzet a kevésbé szem előtt lévő programokkal. Lehet, hogy az internet biztonsága eddig inkább a szerencsén, mintsem a tökéletes tervezésen múlott. Az AI most mintha zseblámpát adott volna a kezünkbe egy sötét padláson, ahol rég elfeledett dobozok között botorkálunk. A kérdés csak az, hogy elég gyorsan tudunk-e világítani, mielőtt valaki más talál rá ugyanazokra a dobozokra, csak kevésbé jó szándékkal.