¿Se puede confiar en la IA generativa para arreglar su código?

Las organizaciones de todo el mundo están en una carrera para adoptar tecnologías de inteligencia artificial en sus programas y herramientas de ciberseguridad. A mayoría (65%) de los desarrolladores usar o planear uso de IA en esfuerzos de prueba en los próximos tres años. Hay muchas aplicaciones de seguridad que se beneficiarán de la IA generativa, pero ¿la corrección de código es una de ellas?

Para muchos equipos de DevSecOps, la IA generativa representa el santo grial para eliminar sus crecientes retrasos en vulnerabilidades. Más de la mitad (66%) de las organizaciones dicen que sus trabajos pendientes se componen de más de 100,000 vulnerabilidades, y más de dos tercios de los hallazgos reportados por las pruebas de seguridad de aplicaciones estáticas (SAST) permanecen abiertos tres meses después de la detección, con 50% permanece abierto después de 363 días. El sueño es que un desarrollador pueda simplemente pedirle a ChatGPT que "arregle esta vulnerabilidad", y las horas y días que antes se dedicaban a remediar las vulnerabilidades serían cosa del pasado.

En teoría, no es una idea del todo descabellada. Después de todo, el aprendizaje automático se ha utilizado eficazmente en herramientas de ciberseguridad durante años para automatizar procesos y ahorrar tiempo: la IA es enormemente beneficiosa cuando se aplica a tareas simples y repetitivas. Pero la aplicación de IA generativa a aplicaciones de código complejo tiene algunos defectos en la práctica. Sin supervisión humana y comando expreso, los equipos de DevSecOps podrían terminar creando más problemas de los que resuelven.

Ventajas y limitaciones de la IA generativa relacionadas con la corrección de código

Las herramientas de inteligencia artificial pueden ser herramientas increíblemente poderosas para análisis, monitoreo o incluso necesidades correctivas de ciberseguridad simples y de bajo riesgo. La preocupación surge cuando lo que está en juego se vuelve trascendental. En última instancia, se trata de una cuestión de confianza.

Los investigadores y desarrolladores aún están determinando las capacidades de la nueva tecnología de IA generativa para producir correcciones de código complejas. La IA generativa se basa en la información existente y disponible para tomar decisiones. Esto puede resultar útil para cosas como traducir código de un idioma a otro o corregir fallas conocidas. Por ejemplo, si le pide a ChatGPT que "escriba este código JavaScript en Python", es probable que obtenga un buen resultado. Sería útil usarlo para corregir una configuración de seguridad en la nube porque la documentación relevante para hacerlo está disponible públicamente y se encuentra fácilmente, y la IA puede seguir instrucciones simples.

Sin embargo, solucionar la mayoría de las vulnerabilidades del código requiere actuar en función de un conjunto único de circunstancias y detalles, lo que introduce un escenario más complejo para que la IA navegue. La IA podría proporcionar una “solución”, pero sin verificación no se debe confiar en ella. La IA generativa, por definición, no puede crear algo que no se conozca ya y puede experimentar alucinaciones que dan lugar a resultados falsos.

En un ejemplo reciente, un abogado enfrenta graves consecuencias después de usar ChatGPT para ayudar a redactar documentos judiciales que citaban seis casos inexistentes que inventó la herramienta de inteligencia artificial. Si la IA alucinara con métodos que no existen y luego los aplicara para escribir código, se perdería tiempo en una “solución” que no se puede compilar. Además, según OpenAI Documento técnico de GPT-4, con el tiempo se descubrirán nuevos exploits, jailbreaks y comportamientos emergentes que serán difíciles de prevenir. Por lo tanto, se requiere una cuidadosa consideración para garantizar que las herramientas de seguridad de IA y las soluciones de terceros sean examinadas y actualizadas periódicamente para garantizar que no se conviertan en puertas traseras no deseadas al sistema.

¿Confiar o no confiar?

Es una dinámica interesante ver cómo se desarrolla la rápida adopción de la IA generativa en el apogeo del movimiento de confianza cero. La mayoría de las herramientas de ciberseguridad se basan en la idea de que las organizaciones nunca deben confiar, sino siempre verificar. La IA generativa se basa en el principio de confianza inherente en la información que fuentes conocidas y desconocidas ponen a su disposición. Este choque de principios parece una metáfora adecuada de la lucha persistente que enfrentan las organizaciones para encontrar el equilibrio adecuado entre seguridad y productividad, que se siente particularmente exacerbada en este momento.

Si bien es posible que la IA generativa aún no sea el santo grial que esperaban los equipos de DevSecOps, ayudará a lograr avances incrementales en la reducción de los retrasos en las vulnerabilidades. Por ahora, se puede aplicar para realizar correcciones sencillas. Para soluciones más complejas, deberán adoptar una metodología de verificación de confianza que aproveche el poder de la IA guiada por el conocimiento de los desarrolladores que escribieron y poseen el código.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-