Μπορεί να είναι αξιόπιστο το Generative AI για τη διόρθωση του κώδικά σας;

Οι οργανισμοί σε όλο τον κόσμο βρίσκονται σε αγώνα δρόμου για την υιοθέτηση τεχνολογιών τεχνητής νοημοσύνης στα προγράμματα και τα εργαλεία τους στον κυβερνοχώρο. ΕΝΑ πλειοψηφία (65%) των προγραμματιστών χρησιμοποιήστε ή προγραμματίστε χρησιμοποιώντας AI σε δοκιμαστικές προσπάθειες στα επόμενα τρία χρόνια. Υπάρχουν πολλές εφαρμογές ασφαλείας που θα επωφεληθούν από τη γενετική τεχνητή νοημοσύνη, αλλά είναι η επιδιόρθωση του κώδικα μία από αυτές;

Για πολλές ομάδες DevSecOps, η γενετική τεχνητή νοημοσύνη αντιπροσωπεύει το ιερό δισκοπότηρο για την εκκαθάριση των αυξανόμενων καθυστερήσεων ευπάθειας. Πάνω από το μισό (66%) οργανισμών λένε ότι οι εκκρεμότητες τους αποτελούνται από περισσότερες από 100,000 ευπάθειες και πάνω από τα δύο τρίτα των ευρημάτων που αναφέρθηκαν από τις δοκιμές ασφάλειας στατικών εφαρμογών (SAST) παραμένουν ανοιχτά τρεις μήνες μετά τον εντοπισμό, με 50% παραμένει ανοιχτό μετά από 363 ημέρες. Το όνειρο είναι ότι ένας προγραμματιστής θα μπορούσε απλώς να ζητήσει από το ChatGPT να «διορθώσει αυτήν την ευπάθεια» και οι ώρες και οι ημέρες που δαπανήθηκαν προηγουμένως για την αποκατάσταση των τρωτών σημείων θα ανήκουν στο παρελθόν.

Δεν είναι μια εντελώς τρελή ιδέα, θεωρητικά. Εξάλλου, η μηχανική μάθηση χρησιμοποιείται αποτελεσματικά σε εργαλεία κυβερνοασφάλειας για χρόνια για την αυτοματοποίηση των διαδικασιών και την εξοικονόμηση χρόνου — η τεχνητή νοημοσύνη είναι εξαιρετικά ωφέλιμη όταν εφαρμόζεται σε απλές, επαναλαμβανόμενες εργασίες. Αλλά η εφαρμογή της γενετικής τεχνητής νοημοσύνης σε σύνθετες εφαρμογές κώδικα έχει κάποια ελαττώματα, στην πράξη. Χωρίς ανθρώπινη επίβλεψη και ρητή εντολή, οι ομάδες DevSecOps θα μπορούσαν να καταλήξουν να δημιουργούν περισσότερα προβλήματα από όσα λύνουν.

Παραγωγικά πλεονεκτήματα και περιορισμοί τεχνητής νοημοσύνης που σχετίζονται με τον κώδικα επιδιόρθωσης

Τα εργαλεία τεχνητής νοημοσύνης μπορούν να είναι απίστευτα ισχυρά εργαλεία για απλές, χαμηλού κινδύνου ανάλυση, παρακολούθηση ή ακόμα και για επανορθωτικές ανάγκες στον κυβερνοχώρο. Η ανησυχία προκύπτει όταν τα διακυβεύματα γίνονται συνεπακόλουθα. Αυτό είναι τελικά θέμα εμπιστοσύνης.

Οι ερευνητές και οι προγραμματιστές εξακολουθούν να προσδιορίζουν τις δυνατότητες της νέας γενετικής τεχνολογίας AI παράγουν σύνθετες διορθώσεις κώδικα. Το Generative AI βασίζεται σε υπάρχουσες, διαθέσιμες πληροφορίες προκειμένου να λαμβάνει αποφάσεις. Αυτό μπορεί να είναι χρήσιμο για πράγματα όπως η μετάφραση κώδικα από μια γλώσσα σε άλλη ή η διόρθωση γνωστών ελαττωμάτων. Για παράδειγμα, εάν ζητήσετε από το ChatGPT να "γράψει αυτόν τον κώδικα JavaScript στην Python", είναι πιθανό να έχετε ένα καλό αποτέλεσμα. Η χρήση του για τη διόρθωση μιας διαμόρφωσης ασφάλειας cloud θα ήταν χρήσιμη, επειδή η σχετική τεκμηρίωση για να γίνει αυτό είναι δημόσια διαθέσιμη και βρίσκεται εύκολα και το AI μπορεί να ακολουθήσει τις απλές οδηγίες.

Ωστόσο, η διόρθωση των περισσότερων τρωτών σημείων κώδικα απαιτεί δράση βάσει ενός μοναδικού συνόλου περιστάσεων και λεπτομερειών, εισάγοντας ένα πιο περίπλοκο σενάριο για την πλοήγηση του AI. Η τεχνητή νοημοσύνη μπορεί να παρέχει μια «διόρθωση», αλλά χωρίς επαλήθευση, δεν θα πρέπει να είναι αξιόπιστη. Το Generative AI, εξ ορισμού, δεν μπορεί να δημιουργήσει κάτι που δεν είναι ήδη γνωστό και μπορεί να βιώσει παραισθήσεις που καταλήγουν σε ψεύτικα αποτελέσματα.

Σε ένα πρόσφατο παράδειγμα, ένας δικηγόρος αντιμετωπίζει σοβαρές συνέπειες αφού χρησιμοποίησε το ChatGPT για να βοηθήσει στη σύνταξη δικαστικών αρχειών που ανέφεραν έξι ανύπαρκτες υποθέσεις που εφηύρε το εργαλείο AI. Εάν η τεχνητή νοημοσύνη επρόκειτο να παραισθήσει μεθόδους που δεν υπάρχουν και στη συνέχεια να εφαρμόσει αυτές τις μεθόδους στη σύνταξη κώδικα, θα οδηγούσε σε χαμένο χρόνο σε μια «διόρθωση» που δεν μπορεί να μεταγλωττιστεί. Επιπλέον, σύμφωνα με το OpenAI Λευκή βίβλος GPT-4, νέα exploits, jailbreaks και αναδυόμενες συμπεριφορές θα ανακαλυφθούν με την πάροδο του χρόνου και θα είναι δύσκολο να αποφευχθούν. Απαιτείται λοιπόν προσεκτική εξέταση για να διασφαλιστεί ότι τα εργαλεία ασφαλείας της τεχνητής νοημοσύνης και οι λύσεις τρίτων μερών ελέγχονται και ενημερώνονται τακτικά, ώστε να διασφαλίζεται ότι δεν θα γίνουν ακούσιες κερκόπορτες στο σύστημα.

Να εμπιστευτείς ή να μην εμπιστευτείς;

Είναι μια ενδιαφέρουσα δυναμική να βλέπεις την ταχεία υιοθέτηση της γενετικής τεχνητής νοημοσύνης να παίζεται στο απόγειο του κινήματος μηδενικής εμπιστοσύνης. Η πλειοψηφία των εργαλείων κυβερνοασφάλειας βασίζεται στην ιδέα ότι οι οργανισμοί δεν πρέπει ποτέ να εμπιστεύονται, αλλά να επαληθεύουν πάντα. Το Generative AI βασίζεται στην αρχή της εγγενούς εμπιστοσύνης στις πληροφορίες που του παρέχονται από γνωστές και άγνωστες πηγές. Αυτή η σύγκρουση αρχών φαίνεται σαν μια κατάλληλη μεταφορά για τον επίμονο αγώνα που αντιμετωπίζουν οι οργανώσεις για να βρουν τη σωστή ισορροπία μεταξύ ασφάλειας και παραγωγικότητας, η οποία αισθάνεται ιδιαίτερα επιδεινωμένη αυτή τη στιγμή.

Αν και η γενετική τεχνητή νοημοσύνη μπορεί να μην είναι ακόμη το ιερό δισκοπότηρο που ήλπιζαν οι ομάδες DevSecOps, θα βοηθήσει να σημειωθεί σταδιακή πρόοδος στη μείωση των καθυστερήσεων ευπάθειας. Προς το παρόν, μπορεί να εφαρμοστεί για απλές διορθώσεις. Για πιο σύνθετες επιδιορθώσεις, θα πρέπει να υιοθετήσουν μια μεθοδολογία επαλήθευσης προς εμπιστοσύνη που αξιοποιεί τη δύναμη της τεχνητής νοημοσύνης με γνώμονα τις γνώσεις των προγραμματιστών που έγραψαν και κατέχουν τον κώδικα.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-