שיעור 8: LLMs לגילוי פגיעויות בקוד
מודלי שפה גדולים (LLMs) כמו Claude יכולים לקרוא קוד ולזהות דפוסי פגיעות — מהר הרבה יותר מסקירה ידנית. חוקרי אבטחה וצוותי Bug Bounty משתמשים ב-LLMs כ'עוזר ראשוני' לסריקה לפני ניתוח עמוק.
שאלת AI לבדוק אם הקוד שלך בטוח זה כמו לבקש ממנהל מנוסה לקרוא את העבודה שלך לפני שאתה מגיש — הוא לא יתפוס הכל, אבל יתפוס הרבה.
- סקירת אבטחה עם LLM
- שימוש במודל שפה גדול לניתוח קוד ואיתור דפוסי פגיעות אוטומטי, לפני סקירה ידנית עמוקה
- הנדסת פרומפטים
- אמנות ניסוח שאלות ופקודות ל-LLM כך שיפיק תגובות מדויקות, מובנות ופעולותיות
- חיובי כוזב (False Positive)
- כאשר כלי אבטחה (או LLM) מדווח על פגיעות שאינה קיימת בפועל — מה שגורם לאנשים לבזבז זמן על בדיקת ממצאים לא אמיתיים
- ביקורת אבטחה
- סקירה שיטתית של קוד, תשתית או תהליכים כדי לאתר חולשות אבטחה — יכולה להיות ידנית, אוטומטית, או שילוב של שניהם