Kan Generativ AI være tillid til at rette din kode?

Organisationer verden over er i et kapløb om at indføre AI-teknologier i deres cybersikkerhedsprogrammer og -værktøjer. EN flertal (65%) af udviklerne bruge eller planlægge bruge AI i testindsatsen i de næste tre år. Der er mange sikkerhedsapplikationer, der vil drage fordel af generativ AI, men er fiksering af kode en af ​​dem?

For mange DevSecOps-teams repræsenterer generativ AI den hellige gral til at rydde deres stigende sårbarhedsefterslæb. Godt over halvdelen (66 %) af organisationerne siger, at deres efterslæb består af mere end 100,000 sårbarheder, og over to tredjedele af de rapporterede resultater af statisk applikationssikkerhedstest (SAST) forbliver åbne tre måneder efter opdagelse, med 50 % forbliver åbent efter 363 dage. Drømmen er, at en udvikler blot kunne bede ChatGPT om at "fikse denne sårbarhed", og de timer og dage, der tidligere blev brugt på at afhjælpe sårbarheder, ville være fortid.

Det er i teorien ikke en helt tosset idé. Når alt kommer til alt, er maskinlæring blevet brugt effektivt i cybersikkerhedsværktøjer i årevis for at automatisere processer og spare tid - AI er enormt fordelagtig, når den anvendes til simple, gentagne opgaver. Men at anvende generativ AI til komplekse kodeapplikationer har nogle mangler i praksis. Uden menneskelig overvågning og udtrykkelig kommando kunne DevSecOps-teams ende med at skabe flere problemer, end de løser.

Generative AI fordele og begrænsninger relateret til fikseringskode

AI-værktøjer kan være utroligt kraftfulde værktøjer til simple cybersikkerhedsanalyser med lav risiko, overvågning eller endda afhjælpende behov. Bekymringen opstår, når indsatsen bliver konsekvens. Dette er i sidste ende et spørgsmål om tillid.

Forskere og udviklere er stadig ved at bestemme mulighederne for ny generativ AI-teknologi til producere komplekse koderettelser. Generativ AI er afhængig af eksisterende, tilgængelig information for at træffe beslutninger. Dette kan være nyttigt til ting som at oversætte kode fra et sprog til et andet eller rette velkendte fejl. For eksempel, hvis du beder ChatGPT om at "skrive denne JavaScript-kode i Python", vil du sandsynligvis få et godt resultat. At bruge det til at rette en cloud-sikkerhedskonfiguration ville være nyttigt, fordi den relevante dokumentation til at gøre det er offentligt tilgængelig og let at finde, og AI kan følge de enkle instruktioner.

Men at rette de fleste kodesårbarheder kræver, at man handler på et unikt sæt af omstændigheder og detaljer, hvilket introducerer et mere komplekst scenarie for AI at navigere. AI'en kan muligvis give en "fix", men uden verifikation bør den ikke stoles på. Generativ AI kan per definition ikke skabe noget, der ikke allerede er kendt, og det kan opleve hallucinationer, der resulterer i falske output.

I et nyligt eksempel står en advokat over for alvorlige konsekvenser efter at have brugt ChatGPT til at hjælpe med at skrive retssager, der citerede seks ikke-eksisterende sager, som AI-værktøjet opfandt. Hvis AI skulle hallucinere metoder, der ikke eksisterer, og derefter anvende disse metoder til at skrive kode, ville det resultere i spildtid på en "fix", der ikke kan kompileres. Derudover ifølge OpenAI's GPT-4 hvidbog, vil nye udnyttelser, jailbreaks og emergent adfærd blive opdaget over tid og være svære at forhindre. Så omhyggelig overvejelse er påkrævet for at sikre, at AI-sikkerhedsværktøjer og tredjepartsløsninger kontrolleres og opdateres regelmæssigt for at sikre, at de ikke bliver utilsigtede bagdøre ind i systemet.

At stole på eller ikke at stole på?

Det er en interessant dynamik at se den hurtige indførelse af generativ AI udspille sig på højden af ​​nul-tillidsbevægelsen. De fleste cybersikkerhedsværktøjer er bygget på ideen om, at organisationer aldrig bør stole på, altid verificere. Generativ AI er bygget på princippet om iboende tillid til den information, der stilles til rådighed for den af ​​kendte og ukendte kilder. Dette principsammenstød virker som en passende metafor for den vedvarende kamp, ​​organisationer står over for for at finde den rette balance mellem sikkerhed og produktivitet, hvilket føles særligt forværret i dette øjeblik.

Selvom generativ AI måske endnu ikke er den hellige gral, DevSecOps-holdene håbede på, vil det hjælpe med at gøre gradvise fremskridt med at reducere sårbarhedsefterslæb. Indtil videre kan det bruges til at lave simple rettelser. For mere komplekse rettelser skal de vedtage en verify-to-trust-metodologi, der udnytter kraften i AI styret af viden fra de udviklere, der skrev og ejer koden.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-