Техдиректор Microsoft Azure с помощью Claude AI обнаружил ошибки в 40-летнем коде Apple II

Технический директор Microsoft Azure Марк Руссинович заявил об успешной реконструкции и поиске уязвимостей в старом коде с помощью ИИ. Он привёл в качестве примера собственный исходник Apple II 40-летней давности.

В мае 1986 года Руссинович написал утилиту Enhancer для персонального компьютера Apple II. Утилита на машинном языке 6502 добавила возможность использования переменной или выражения BASIC для указания адреса команды GOTO, GOSUB или RESTORE, тогда как без модификации Applesoft BASIC принимал только номер строки.

Руссинович поручил Claude Opus 4.6 проверить исходник. Программа декомпилировала машинный язык и обнаружила некоторое количество проблем безопасности, в том числе случай «скрытого некорректного поведения», когда, если целевая строка не была найдена, приложение устанавливала указатель на следующую строку или за конец программы, вместо того чтобы сообщать об ошибке. Решением могло бы стать проверка флага переноса, который устанавливается, если строка не найдена, и переход к ошибке. 

«К моему удивлению, ИИ не просто декомпилировал машинный язык 6502; он восстановил логику с точными метками и комментариями, практически “прочитав” замысел кода, написанного четыре десятилетия назад. Ещё более впечатляющим был аудит безопасности», — написал СТО.

По словам комментаторов, способность ИИ декомпилировать встроенный код и находить уязвимости вызывает опасения. «В мире существуют миллиарды устаревших микроконтроллеров, многие из которых, вероятно, работают на хрупком или плохо проверенном прошивочном ПО, подобном этому», — отметил один из них.

После того, как Anthropic представила Claude Opus 4.6, компания преду��редила о проблеме быстрого обнаружения ИИ уязвимостей, которые могут быть использованы хакерами.

«Когда мы настроили Opus 4.6 на проверку наиболее хорошо протестированных кодовых баз (проектов, в которых фаззеры работали годами, накопив миллионы часов процессорного времени), Opus 4.6 обнаружил серьёзные уязвимости, некоторые из которых оставались незамеченными десятилетиями», — заявила команда Red Team компании, отвечающая за повышение осведомленности общественности о рисках, связанных с ИИ. Там предположили, что «сейчас самое время действовать быстро... чтобы защитить как можно больше кода, пока есть такая возможность». В марте Anthropic представила инструмент проверки кода на основе ИИ, предназначенный для выявления ошибок до того, как они попадут в кодовую базу программного обеспечения. Свежий продукт под названием Code Review уже запустили в Claude Code.

Такой решение может сработать для таких известных проектов с открытым исходным кодом, как Mozilla Firefox, где ИИ обнаружил 14 серьёзных ошибок, но он нереалистичен для большей части старого кода, который продолжает работать, например, на встроенных устройствах или в устаревших приложениях.

В прошлом месяце Anthropic заявила: «Мы ожидаем, что значительная часть мирового кода будет проверена ИИ в ближайшем будущем, с учётом, насколько эффективными стали модели в обнаружении давно скрытых ошибок и проблем безопасности».

Однако в случае с опенсорсными проектами это может стать обременением для разработчиков. ИИ равным образом хорошо справляется с обнаружением несуществующих или не имеющих отношения к делу проблем безопасности, создавая дополнительную нагрузку на них.

Ранее инженер Cloudflare Стив Фолкнер сообщил, что внедрил 94% программный интерфейс Next.js, управляя миграцией с помощью ИИ Claude и потратив на это приблизительно недели и $1100 на токены. Целью эксперимента было не только продемонстрировать возможности ИИ-программирования, но и решить проблему с Next.js, популярным фреймворком на основе React, спонсируемым Vercel.

А разработчик Дэн Бланшар, создатель Python‑библиотеки chardet для определения кодировки символов, показал обновлённую версию библиотеки под лицензией MIT вместо ранее применявшейся лицензии LGPL. Бланшар пояснил, что ИИ‑ассистент Claude от Anthropic. который теперь числится в списке контрибуторов, помог переписать библиотеку без использования оригинального кода. Это позволило авторы проекта заменить копилефт лицензию на пермиссивную.

Наконец, директор по инжинирингу DNS в организации ISC Ондржей Cури подвёл итоги экспериментов по использованию Claude Code для анализа, исправления и модернизации кодовой базы DNS‑сервера BIND 9. Впечатления Сури от использования ИИ свелись к тому, что большие языковые модели хорошо подходят для быстрого создания прототипов, понимания незнакомого кода и автоматизации простых р��тинных задач.