Kas generatiivset tehisintellekti saab teie koodi parandamiseks usaldada?

Organisatsioonid kogu maailmas võistlevad tehisintellekti tehnoloogiate kasutuselevõtuga oma küberturvalisuse programmides ja tööriistades. A enamus (65%) arendajatest kasutada või plaanida AI kasutamine testimisel järgmise kolme aasta jooksul. On palju turvarakendusi, mis saavad generatiivsest AI-st kasu, kuid kas koodi parandamine on üks neist?

Paljude DevSecOpsi meeskondade jaoks on generatiivne AI püha graal nende kasvava haavatavuse mahajäämuse kõrvaldamiseks. Üle poole (66%) organisatsioonidest väidavad, et nende mahajäämus koosneb enam kui 100,000 XNUMX haavatavusest ja enam kui kaks kolmandikku staatilistest rakenduste turbetestidest (SAST) jäävad avatuks kolm kuud pärast avastamist. 50% jääb avatuks 363 päeva pärast. Unistus seisneb selles, et arendaja võiks lihtsalt paluda ChatGPT-l see haavatavus parandada ning varem haavatavuste kõrvaldamiseks kulutatud tunnid ja päevad jääksid minevikku.

Teoreetiliselt pole see täiesti hull idee. Lõppude lõpuks on masinõpet küberturvalisuse tööriistades tõhusalt kasutatud juba aastaid protsesside automatiseerimiseks ja aja säästmiseks – tehisintellekt on väga kasulik, kui seda kasutatakse lihtsate korduvate ülesannete puhul. Kuid generatiivse AI rakendamisel keeruliste koodirakenduste jaoks on praktikas mõned puudused. Ilma inimliku järelevalve ja selge käsuta võivad DevSecOpsi meeskonnad tekitada rohkem probleeme kui lahendada.

Generatiivsed AI eelised ja piirangud, mis on seotud paranduskoodiga

AI-tööriistad võivad olla uskumatult võimsad tööriistad lihtsa ja madala riskitasemega küberturvalisuse analüüsiks, jälgimiseks või isegi parandusvajadusteks. Mure tekib siis, kui panused muutuvad tagajärjeks. See on lõpuks usalduse küsimus.

Teadlased ja arendajad määravad endiselt kindlaks uue generatiivse AI-tehnoloogia võimalused luua keerukaid koodiparandusi. Generatiivne tehisintellekt tugineb otsuste tegemisel olemasolevale kättesaadavale teabele. See võib olla abiks näiteks koodi tõlkimisel ühest keelest teise või tuntud vigade parandamiseks. Näiteks kui palute ChatGPT-l kirjutada see JavaScripti kood Pythonis, saate tõenäoliselt hea tulemuse. Selle kasutamine pilveturbe konfiguratsiooni parandamiseks oleks kasulik, kuna asjakohane dokumentatsioon on avalikult kättesaadav ja hõlpsasti leitav ning tehisintellekt saab järgida lihtsaid juhiseid.

Enamiku koodi haavatavuste parandamine nõuab aga tegutsemist ainulaadsete asjaolude ja üksikasjade alusel, tuues tehisintellektile navigeerimiseks keerukama stsenaariumi. AI võib pakkuda "paranduse", kuid ilma kontrollita ei tohiks seda usaldada. Generatiivne AI definitsiooni järgi ei saa luua midagi, mida pole veel teada, ja see võib kogeda hallutsinatsioone, mille tulemuseks on võltsväljundid.

Hiljutises näites seisavad advokaadi ees tõsised tagajärjed pärast seda, kui ta kasutas ChatGPT-d kohtutoimikute kirjutamiseks, milles viidati kuuele tehisintellekti tööriista leiutatud olematule juhtumile. Kui tehisintellekt peaks hallutsineerima meetodeid, mida pole olemas, ja seejärel rakendama neid meetodeid koodi kirjutamisel, raiskaks see aega "parandusele", mida ei saa kompileerida. Lisaks OpenAI andmetel GPT-4 valge paber, avastatakse aja jooksul uusi ärakasutusi, jailbreake ja esilekerkivaid käitumisviise ning neid on raske ära hoida. Seetõttu tuleb hoolikalt kaaluda, et tehisintellekti turbetööriistu ja kolmandate osapoolte lahendusi kontrollitaks ja värskendataks regulaarselt, et need ei muutuks süsteemi soovimatuteks tagauksteks.

Usaldada või mitte usaldada?

On huvitav dünaamika näha generatiivse tehisintellekti kiiret kasutuselevõttu null-usalduse liikumise kõrgpunktis. Enamik küberturvalisuse tööriistu on üles ehitatud ideele, et organisatsioonid ei tohiks kunagi usaldada, alati kontrollida. Generatiivne AI on üles ehitatud loomupärase usalduse põhimõttele teadaolevatest ja tundmatutest allikatest talle kättesaadavaks tehtud teabe vastu. See põhimõtete kokkupõrge näib olevat sobiv metafoor püsivale võitlusele, millega organisatsioonid seisavad silmitsi õige tasakaalu leidmisel turvalisuse ja tootlikkuse vahel, mis tundub praegu eriti teravana.

Ehkki generatiivne tehisintellekt ei pruugi veel olla see, mida DevSecOpsi meeskonnad lootsid, aitab see haavatavuse mahajäämuse vähendamisel järk-järgult edasi liikuda. Praegu saab seda kasutada lihtsate paranduste tegemiseks. Keerulisemate paranduste jaoks peavad nad kasutusele võtma usaldusväärsuse kontrollimise metoodika, mis kasutab AI jõudu, juhindudes koodi kirjutanud ja koodi omavate arendajate teadmistest.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-