Uusimpien kulttuuria järisyttävien tekoälytyökalujen ensimmäisistä hypeistä lähtien kehittäjät ja koodaamisesta kiinnostuneet ovat käyttäneet niitä koodin luomiseen napin painalluksella. Turvallisuusasiantuntijat huomauttivat nopeasti, että monissa tapauksissa tuotettu koodi oli huonolaatuisia ja haavoittuvia ja niiden käsissä, joilla on vähän turvallisuustietoisuutta, se voi aiheuttaa lumivyöryn suojaamattomat sovellukset ja verkkokehitys lyödä pahaa-aavistamattomia kuluttajia.
Ja sitten on niitä, joilla on tarpeeksi tietoturvatietoa käyttääkseen sitä pahaan. Näyttää siltä, että jokaiseen järkyttävää tekoälyä kohden käytetään vastaiskua samaa tekniikkaa petollisiin tarkoituksiin. Tietojenkalastelu, syvät väärennetyt huijausvideot, haittaohjelmien luominen, yleiset skriptit – nämä häiritsevät toimet ovat nyt saavutettavissa paljon nopeammin, ja markkinoille pääsyn esteet ovat pienemmät.
On varmasti paljon napsautussyöttiä, joka mainostaa tätä työkalua vallankumouksellisena tai ainakin nousevan kärkeen, kun se yhdistetään "keskimääräiseen" ihmistaitoon. Vaikka näyttää väistämättömältä, että suuret kielimallit – tyylinen tekoälytekniikka (LLM) muuttaa tapaamme lähestyä monia työn näkökohtia – ei vain ohjelmistokehitystä – meidän on otettava askel taaksepäin ja harkittava otsikoiden ulkopuolella olevia riskejä.
Ja koodauskumppanina sen puutteet ovat ehkä sen "inhimillisin" ominaisuus.
Huonot koodausmallit hallitsevat sen perusratkaisuja
Kun ChatGPT on koulutettu vuosikymmenien koodi- ja tietokantoihin, ei ole yllätys, että kaikesta ihmeellisyydestään ja mysteeristään huolimatta sekin kärsii samoista yleisistä sudenkuoppista, joita ihmiset kohtaavat koodia navigoidessaan. Huonot koodausmallit ovat välttämättömiä, ja silti tarvitaan tietoturvatietoinen ajuri suojattujen koodausesimerkkien luomiseen kysymällä oikeat kysymykset ja toimittamalla oikeat tekniset tiedot.
Silloinkaan ei ole takeita siitä, että annetut koodinpätkät ovat tarkkoja ja toimivia turvallisuusnäkökulmasta. tekniikka on jopa altis hallusinaatioille olemattomien kirjastojen muodostaminen kun pyydetään suorittamaan tiettyjä JSON-toimintoja. Tämä voi johtaa uhkatoimijoiden "halusinaatioiden squatointiin", jotka olisivat aivan liian iloisia voiessaan kehittää haittaohjelmia, jotka on naamioitu ChatGPT:n täydellä luottamuksella valmistetuksi kirjastoksi.
Viime kädessä meidän on kohdattava tosiasia, että emme yleensä ole odottaneet kehittäjien olevan riittävän tietoisia tietoturvasta, emmekä ole alana valmistaneet heitä riittävästi kirjoittamaan suojattua koodia oletustilana. Tämä tulee ilmeiseksi ChatGPT:hen syötetyn valtavan koulutusdatan määrässä, ja voimme odottaa samanlaisia heikkoja tietoturvatuloksia sen lähdöstä, ainakin aluksi. Kehittäjien pitäisi pystyä tunnistamaan tietoturvavirheet ja joko korjaamaan ne itse tai suunnittelemaan parempia kehotteita tehokkaamman lopputuloksen saavuttamiseksi.
Ensimmäinen laajamittainen käyttäjätutkimus Stanfordin yliopiston tutkijoiden suorittama tutkimus, kuinka käyttäjät ovat vuorovaikutuksessa tekoälyn koodausassistentin kanssa erilaisten turvallisuuteen liittyvien toimintojen ratkaisemiseksi, tukee tätä käsitystä.
Tämän ja tulevaisuutemme tunkeutuvien väistämättömien tekoälyn aiheuttamien uhkien välissä kehittäjien on nyt enemmän kuin koskaan hiottava tietoturvataitojaan ja nostettava koodin laadun rimaa sen alkuperästä riippumatta.
Tie tietomurron katastrofiin on kivetty hyvillä aikomuksilla
Ei pitäisi olla yllättävää, että tekoälykoodauskumppanit ovat suosittuja, varsinkin kun kehittäjät kohtaavat kasvavan vastuun, tiukemmat määräajat ja yrityksen innovaatioiden tavoitteet lepäävät heidän harteillaan. Parhaistakin aikeista huolimatta tietoturvatietoisuuden puute käytettäessä tekoälyä koodaukseen johtaa väistämättä räikeisiin tietoturvaongelmiin. Kaikki AI/ML-työkaluja käyttävät kehittäjät luovat lisää koodia, ja sen turvallisuusriskin taso riippuu heidän taitotasostaan. Organisaatioiden on oltava erittäin tietoisia siitä, että kouluttamattomat ihmiset luovat koodia varmasti nopeammin, mutta myös he lisäävät teknisten vakuusvelkojen nopeutta.
Jopa alustava testimme ChatGPT:n kanssa huhtikuussa osoitti, että se tuottaa hyvin perusvirheitä, joilla voi olla tuhoisia seurauksia. Kun pyysimme sitä rakentamaan sisäänkirjautumisrutiinin PHP:ssä MySQL-tietokannan avulla, toiminnallinen koodi luotiin nopeasti. Se kuitenkin asetti oletuksena salasanojen tallentamiseen selkeänä tekstinä tietokantaan, tietokantayhteyden tunnistetietojen tallentamiseen koodiin ja koodauskuvion käyttämiseen, joka saattoi johtaa SQL-injektointiin (vaikka se suodatti jonkin verran syöttöparametreja ja sylki tietokantavirheet ). Kaikki tulokasvirheet millä tahansa mitalla:
Lisäkehotuksella varmistettiin, että virheet korjattiin, mutta sen korjaaminen vaatii huomattavaa tietoturvatietoa. Näiden työkalujen valvomaton ja laajalle levinnyt käyttö ei ole parempaa kuin nuorempien kehittäjien vapauttaminen projekteihisi, ja jos tämä koodi rakentaa arkaluonteista infrastruktuuria tai käsittelee henkilötietoja, katsomme tikittävää aikapommia.
Tietenkin, aivan kuten nuoremmat kehittäjät epäilemättä lisäävät taitojaan ajan myötä, odotamme AI/ML-ominaisuuksien paranevan. Vuoden kuluttua se ei ehkä tee niin ilmeisiä ja yksinkertaisia tietoturvavirheitä. Tämä kuitenkin lisää dramaattisesti tietoturvataitoja, joita tarvitaan vakavimpien, piilotettujen, ei-triviaalien tietoturvavirheiden jäljittämiseen, joita se edelleen on vaarassa aiheuttaa.
Olemme edelleen huonosti valmistautuneita löytämään ja korjaamaan tietoturva-aukkoja, ja tekoäly laajentaa kuilua
Vaikka "siirtymisestä vasemmalle" on puhuttu paljon useiden vuosien ajan, tosiasia on kuitenkin se, että useimmilla organisaatioilla on huomattava puute käytännön turvallisuustiedoista kehityskohortin keskuudessa, ja meidän on työskenneltävä kovemmin tarjota oikeat työkalut ja koulutus auttamaan heitä matkalla.
Tällä hetkellä emme ole varautuneet jo kohtaamiimme tietoturvavirheisiin, puhumattakaan uusista tekoälyn aiheuttamista ongelmista, kuten nopeasta injektiosta ja hallusinaatioista, jotka edustavat täysin uusia hyökkäysvektoreita, joiden on määrä lähteä liikkeelle kulovalkean tavoin. AI-koodaustyökalut edustavat kehittäjien koodausarsenaalin tulevaisuutta, mutta koulutuksen näiden tuottavuusaseiden turvalliseen käyttöön on tultava nyt.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
- Lähde: https://www.darkreading.com/vulnerabilities-threats/when-it-comes-to-secure-coding-chatgpt-is-quintessentially-human
- :on
- :On
- :ei
- $ YLÖS
- 7
- a
- pystyy
- tarkka
- toiminta
- toimijoiden
- asianmukaisesti
- AI
- AI / ML
- samoin
- Kaikki
- jo
- Vaikka
- tavoitteet
- keskuudessa
- määrä
- an
- ja
- Kaikki
- lähestymistapa
- sovellukset
- huhtikuu
- OVAT
- Arsenal
- AS
- näkökohdat
- Avustaja
- At
- hyökkäys
- Lumivyöry
- keskimäärin
- tietoinen
- tietoisuus
- takaisin
- baari
- esteet
- perustiedot
- BE
- ollut
- ovat
- PARAS
- Paremmin
- Jälkeen
- pommi
- rikkominen
- Bugs
- rakentaa
- Rakentaminen
- mutta
- nappia
- by
- CAN
- kyvyt
- tapauksissa
- Aiheuttaa
- varmasti
- muuttaa
- ChatGPT
- clickbait
- koodi
- Koodaus
- kohortti
- Tulla
- tulee
- tuleva
- Yhteinen
- seuralainen
- seuralaiset
- yritys
- tehty
- luottamus
- liitäntä
- Seuraukset
- Harkita
- Kuluttajat
- voisi
- Kurssi
- luominen
- Valtakirja
- VAARA
- tiedot
- tietoturvaloukkauksesta
- tietokanta
- Velka
- vuosikymmeninä
- syvä
- Syvä väärennös
- oletusarvo
- tuottaa
- Malli
- tuhoisa
- Kehittäjä
- kehittäjille
- Kehitys
- DID
- katastrofi
- häiritsevä
- do
- hallita
- alas
- dramaattisesti
- kuljettaja
- koulutus
- vaikutus
- myöskään
- Tekniikka
- valtava
- tarpeeksi
- täysin
- merkintä
- virheet
- erityisesti
- Jopa
- EVER
- Joka
- ilmeinen
- tutkii
- Esimerkit
- olemassa
- odottaa
- odotettu
- asiantuntijat
- Kasvot
- kohtasi
- tosiasia
- väärennös
- nopeampi
- saavutus
- Fed
- suodatus
- Löytää
- Etunimi
- Korjata
- puutteita
- varten
- alkaen
- koko
- toiminnallinen
- tehtävät
- tulevaisuutta
- general
- tuottaa
- syntyy
- tietty
- hyvä
- taata
- käsissä
- onnellinen
- Olla
- Pääotsikot
- auttaa
- kätketty
- Osuma
- Miten
- Kuitenkin
- HTTPS
- ihmisen
- mainostemppu
- tunnistaa
- if
- parantaa
- in
- Kasvaa
- lisää
- teollisuus
- väistämätön
- väistämättä
- Infrastruktuuri
- ensin
- Innovaatio
- panos
- aikomukset
- olla vuorovaikutuksessa
- tulee
- kysymykset
- IT
- SEN
- json
- vain
- tuntemus
- Lack
- Lattea
- Kieli
- suuri
- uusin
- johtaa
- vähiten
- vasemmalle
- Taso
- Kirjasto
- pitää
- vähän
- OTK
- Kirjaudu sisään
- näköinen
- Erä
- alentaa
- tehdä
- haittaohjelmat
- Malwarebytes
- monet
- ihme
- Hyväksytty
- asia
- max-width
- Saattaa..
- mitata
- virheitä
- lisää
- eniten
- paljon
- täytyy
- mysql
- Mysteeri
- navigointi
- Tarve
- Uusi
- Nro
- olematon
- Käsite
- nyt
- Ilmeinen
- of
- pois
- on
- Operations
- or
- organisaatioiden
- alkuperä
- meidän
- ulos
- Tulos
- ulostulo
- yli
- parametrit
- salasanat
- Kuvio
- kuviot
- Ihmiset
- Suorittaa
- ehkä
- henkilöstö
- henkilökohtaiset tiedot
- näkökulma
- Phishing
- PHP
- Platon
- Platonin tietotieto
- PlatonData
- kehno
- Suosittu
- Käytännön
- valmis
- ongelmia
- käsittely
- valmistettu
- tuottavat
- tuottavuus
- hankkeet
- laatu
- kysymykset
- nopeasti
- nostaa
- RE
- Todellisuus
- suositeltu
- jäädä
- jäännökset
- edustaa
- tarvitaan
- Tutkijat
- vastuu
- lepää
- johtua
- tulokset
- Revealed
- vallankumouksellinen
- oikein
- Riski
- riskit
- tie
- luja
- s
- turvallisesti
- sama
- Huijaus
- turvallinen
- turvallisuus
- Turvallisuustietoisuus
- näyttää
- sensible
- vakava
- setti
- VAIHTO
- shouldnt
- merkittävä
- samankaltainen
- Yksinkertainen
- taito
- taitoja
- So
- Tuotteemme
- ohjelmistokehitys
- SOLVE
- jonkin verran
- erityinen
- nopeus
- Kierre
- seisoo
- Stanford
- Stanfordin yliopisto
- Osavaltio
- Vaihe
- Yhä
- tallentamiseksi
- niin
- kärsii
- Tukee
- yllätys
- ottaa
- vie
- Puhua
- Tekninen
- Elektroniikka
- testi
- kuin
- että
- -
- Tulevaisuus
- heidän
- Niitä
- itse
- sitten
- Siellä.
- Nämä
- ne
- tätä
- ne
- uhkaus
- uhka toimijat
- uhat
- tikittää
- tiukempi
- aika
- että
- liian
- työkalut
- ylin
- kosketa
- raita
- koulutettu
- koulutus
- epäilemättä
- yliopisto
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttämällä
- lajike
- hyvin
- Videoita
- haavoittuvuuksia
- oli
- Tapa..
- we
- Aseet
- verkko
- HYVIN
- olivat
- kun
- vaikka
- KUKA
- laajalle levinnyt
- tulee
- with
- Referenssit
- olisi
- kirjoittaa
- vuosi
- vuotta
- Sinun
- zephyrnet