Kann man der generativen KI vertrauen, dass sie Ihren Code repariert?

Kann man der generativen KI vertrauen, dass sie Ihren Code repariert?

Zeitstempel: 7. Juli 2023, 10:00 Uhr
Kann man der generativen KI vertrauen, dass sie Ihren Code repariert? PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.

Organisationen auf der ganzen Welt befinden sich in einem Wettlauf um die Einführung von KI-Technologien in ihre Cybersicherheitsprogramme und -tools. A Mehrheit (65 %) der Entwickler nutzen oder planen Einsatz von KI bei Testbemühungen in den nächsten drei Jahren. Es gibt viele Sicherheitsanwendungen, die von generativer KI profitieren werden, aber gehört das Korrigieren von Code dazu?

Für viele DevSecOps-Teams stellt generative KI den heiligen Gral dar, um ihre zunehmenden Schwachstellenrückstände zu beseitigen. Weit über die Hälfte (66 %) der Unternehmen geben an, dass ihre Rückstände mehr als 100,000 Schwachstellen umfassen, und über zwei Drittel der gemeldeten Ergebnisse statischer Anwendungssicherheitstests (SAST) bleiben drei Monate nach der Entdeckung offen 50 % bleiben nach 363 Tagen geöffnet. Der Traum besteht darin, dass ein Entwickler ChatGPT einfach bitten könnte, „diese Schwachstelle zu beheben“, und die Stunden und Tage, die zuvor mit der Behebung von Schwachstellen verbracht wurden, der Vergangenheit angehören würden.

Theoretisch ist das keine völlig verrückte Idee. Schließlich wird maschinelles Lernen seit Jahren effektiv in Cybersicherheitstools eingesetzt, um Prozesse zu automatisieren und Zeit zu sparen – KI ist enorm vorteilhaft, wenn sie auf einfache, sich wiederholende Aufgaben angewendet wird. Doch die Anwendung generativer KI auf komplexe Codeanwendungen weist in der Praxis einige Mängel auf. Ohne menschliche Aufsicht und ausdrückliche Befehle könnten DevSecOps-Teams am Ende mehr Probleme verursachen, als sie lösen.

Vorteile und Einschränkungen der generativen KI im Zusammenhang mit der Codekorrektur

KI-Tools können unglaublich leistungsstarke Tools für einfache, risikoarme Cybersicherheitsanalysen, Überwachung oder sogar Abhilfemaßnahmen sein. Die Sorge entsteht, wenn die Einsätze folgenreich werden. Dies ist letztlich eine Frage des Vertrauens.

Forscher und Entwickler ermitteln immer noch die Möglichkeiten neuer generativer KI-Technologie Erstellen Sie komplexe Codekorrekturen. Generative KI stützt sich bei der Entscheidungsfindung auf vorhandene, verfügbare Informationen. Dies kann beispielsweise bei der Übersetzung von Code von einer Sprache in eine andere oder bei der Behebung bekannter Fehler hilfreich sein. Wenn Sie ChatGPT beispielsweise bitten, „diesen JavaScript-Code in Python zu schreiben“, erhalten Sie wahrscheinlich ein gutes Ergebnis. Es wäre hilfreich, es zum Korrigieren einer Cloud-Sicherheitskonfiguration zu verwenden, da die entsprechende Dokumentation dazu öffentlich verfügbar und leicht zu finden ist und die KI den einfachen Anweisungen folgen kann.

Allerdings erfordert die Behebung der meisten Code-Schwachstellen das Eingreifen auf eine Reihe einzigartiger Umstände und Details, was ein komplexeres Szenario für die Navigation der KI mit sich bringt. Die KI bietet möglicherweise eine „Lösung“, aber ohne Überprüfung sollte ihr nicht vertraut werden. Generative KI kann per Definition nichts erschaffen, was nicht bereits bekannt ist, und es kann zu Halluzinationen kommen, die zu gefälschten Ergebnissen führen.

In einem aktuellen Beispiel muss ein Anwalt mit schwerwiegenden Konsequenzen rechnen, nachdem er ChatGPT verwendet hat, um Gerichtsakten zu verfassen, in denen sechs nicht existierende Fälle zitiert wurden, die das KI-Tool erfunden hatte. Wenn KI Methoden halluzinieren würde, die nicht existieren, und diese Methoden dann beim Schreiben von Code anwenden würde, würde dies dazu führen, dass Zeit für eine „Lösung“ verschwendet wird, die nicht kompiliert werden kann. Darüber hinaus laut OpenAI GPT-4-Whitepaper, neue Exploits, Jailbreaks und neu auftretende Verhaltensweisen werden mit der Zeit entdeckt und lassen sich nur schwer verhindern. Daher ist sorgfältige Überlegung erforderlich, um sicherzustellen, dass KI-Sicherheitstools und Lösungen von Drittanbietern überprüft und regelmäßig aktualisiert werden, um sicherzustellen, dass sie nicht zu unbeabsichtigten Hintertüren in das System werden.

Vertrauen oder nicht vertrauen?

Es ist eine interessante Dynamik zu sehen, wie sich die schnelle Einführung generativer KI auf dem Höhepunkt der Zero-Trust-Bewegung vollzieht. Die meisten Cybersicherheitstools basieren auf der Idee, dass Unternehmen niemals vertrauen, sondern immer überprüfen sollten. Generative KI basiert auf dem Prinzip des inhärenten Vertrauens in die Informationen, die ihr von bekannten und unbekannten Quellen zur Verfügung gestellt werden. Dieser Prinzipienkonflikt scheint eine passende Metapher für den anhaltenden Kampf zu sein, mit dem Unternehmen konfrontiert sind, das richtige Gleichgewicht zwischen Sicherheit und Produktivität zu finden, der sich in diesem Moment besonders verschärft anfühlt.

Auch wenn die generative KI vielleicht noch nicht der heilige Gral ist, auf den DevSecOps-Teams gehofft haben, wird sie dazu beitragen, schrittweise Fortschritte bei der Reduzierung von Schwachstellenrückständen zu erzielen. Derzeit kann es für einfache Korrekturen eingesetzt werden. Für komplexere Korrekturen müssen sie eine „Verify-to-Trust“-Methodik anwenden, die die Leistungsfähigkeit der KI nutzt und sich dabei an dem Wissen der Entwickler orientiert, die den Code geschrieben haben und ihm gehören.

Zeitstempel:

Mehr von Dunkle Lektüre