في عالم البرمجيات المفتوحة المصدر، تعد تحديثات الأمان نافذة حاسمة تتيح للمهاجمين والمدافعين مقارنة البرمجيات المعرضة للخطر وتلك التي تم تصحيحها. إلا أن العديد من البيئات التشغيلية تعتمد على الحزم الثنائية (Binary Packages) أكثر من الاعتماد على التصحيحات المصدرية (Source Patches) أو نصوص التوجيه. نتناول في هذا المقال البحث الجديد الذي يحمل عنوان Patch2Vuln، والذي يطرح سؤالاً جوهرياً: هل يمكن لنموذج لغوي، مقيد بالأدلة المستمدة من الكود الثنائي المحلي، أن يعيد بناء المعنى الأمني لتحديثات توزيع لينكس؟

يتكون Patch2Vuln من خط أنابيب محلي قابل للاستئناف يقوم باستخراج أزواج ELF القديمة والجديدة، وإجراء المقارنات باستخدام أدوات مثل Ghidra وGhidriff، وتصنيف الوظائف المتغيرة، وبناء ملفات مرشحة، ومن ثم يطلب من وكيل خارجي إجراء تدقيق أولي وخطة تحقق من صحة محدودة إلى جانب تدقيق نهائي.

أجري تقييم على Patch2Vuln باستخدام 25 مجموعة من حزم Ubuntu .deb، منها 20 مجموعة تحديث أمني وخمس مجموعات تحكم سلبية، مع مراعاة التصحيح اليدوي مقابل بيانات يتيمة من مصدر التصحيح ووظائف ثنائية. ووجد البحث أن الوكيل استطاع تحديد وظيفة تصحيح ذات صلة بالأمان بشكل موثوق في 10 من أصل 20 مجموعة أمنية، وتم ضربها بشكل مناسب في تصنيف السبب الجذري النهائي في 11 من أصل 20.

تشير التشخيصات إلى وجود ستة مجموعات أمنية تفشل قبل استدراك النموذج بسبب عدم تمييز الفارق الثنائي أو تصنيف الوظيفة الصحيحة، بالإضافة إلى عدم تصدير السياق بشكل صحيح. كما أسفرت عملية تحقق محدودة منفصلة عن إنتاج فرق سلوكي قديم/جديد مصغّر للمستوى المستهدف لكلا النسختين من tcpdump، ولكن لم يتم اكتشاف أي إثباتات تتعلق بالأعطال أو الأوقات المستغرقة أو مشكلات الذاكرة. تعكس هذه النتائج دعم إعادة بناء الثغرات بشكل وكيل من التصحيحات الثنائية كهدف بحثي مثير، بينما تُظهر أن نطاق تغطية الفروقات الثنائية والتحقق السلوكي المحلي تظل العناصر المحددة.