Voidaanko generatiiviseen tekoälyyn luottaa koodisi korjaamiseen?

Organisaatiot ympäri maailmaa kilpailevat tekoälytekniikoiden ottamiseksi osaksi kyberturvallisuusohjelmiaan ja -työkalujaan. A suurin osa (65 %) kehittäjistä käytä tai suunnittele tekoälyn käyttäminen testauksessa seuraavan kolmen vuoden aikana. On monia tietoturvasovelluksia, jotka hyötyvät generatiivisesta tekoälystä, mutta onko koodin korjaaminen yksi niistä?

Monille DevSecOps-tiimeille generatiivinen tekoäly on pyhä malja niiden lisääntyvien haavoittuvuuksien poistamisessa. Yli puolet (66 %) organisaatioista sanovat, että niiden ruuhkat koostuvat yli 100,000 XNUMX haavoittuvuudesta, ja yli kaksi kolmasosaa staattisten sovellusten suojaustestien (SAST) raportoiduista havainnoista on avoinna kolmen kuukauden kuluttua havaitsemisesta. 50 % jäljellä 363 päivän jälkeen. Unelma on, että kehittäjä voisi yksinkertaisesti pyytää ChatGPT:tä "korjaamaan tämä haavoittuvuus", ja aiemmin haavoittuvuuksien korjaamiseen käytetyt tunnit ja päivät olisivat menneisyyttä.

Se ei ole teoriassa täysin hullu idea. Loppujen lopuksi koneoppimista on käytetty tehokkaasti kyberturvallisuustyökaluissa jo vuosia automatisoimaan prosesseja ja säästämään aikaa – tekoäly on erittäin hyödyllinen, kun sitä sovelletaan yksinkertaisiin, toistuviin tehtäviin. Mutta generatiivisen tekoälyn soveltamisessa monimutkaisiin koodisovelluksiin on käytännössä joitain puutteita. Ilman ihmisen valvontaa ja ilmaista komentoa DevSecOps-tiimit voivat päätyä luomaan enemmän ongelmia kuin ratkaisevat.

Korjauskoodiin liittyvät generatiiviset AI-edut ja rajoitukset

Tekoälytyökalut voivat olla uskomattoman tehokkaita työkaluja yksinkertaiseen, vähäriskiseen kyberturvallisuusanalyysiin, seurantaan tai jopa korjaaviin tarpeisiin. Huoli syntyy, kun panoksista tulee seurauksia. Tämä on viime kädessä luottamuskysymys.

Tutkijat ja kehittäjät määrittävät edelleen uuden generatiivisen tekoälyteknologian mahdollisuuksia tuottaa monimutkaisia ​​koodikorjauksia. Generatiivinen tekoäly luottaa olemassa olevaan saatavilla olevaan tietoon tehdäkseen päätöksiä. Tästä voi olla apua esimerkiksi koodin kääntämisessä kielestä toiseen tai tunnettujen puutteiden korjaamiseen. Jos esimerkiksi pyydät ChatGPT:tä "kirjoittamaan tämän JavaScript-koodin Pythonissa", saat todennäköisesti hyvän tuloksen. Sen käyttäminen pilviturvakonfiguraation korjaamiseen olisi hyödyllistä, koska asiaa koskevat asiakirjat ovat julkisesti saatavilla ja helposti löydettävissä, ja tekoäly voi seurata yksinkertaisia ​​​​ohjeita.

Useimpien koodin haavoittuvuuksien korjaaminen edellyttää kuitenkin toimenpiteitä ainutlaatuisten olosuhteiden ja yksityiskohtien mukaan, mikä tekee tekoälylle monimutkaisemman skenaarion. Tekoäly saattaa tarjota "korjauksen", mutta ilman vahvistusta siihen ei pitäisi luottaa. Generatiivinen tekoäly ei määritelmän mukaan voi luoda jotain, jota ei vielä tunneta, ja se voi kokea hallusinaatioita, jotka johtavat vääriin tulosteisiin.

Äskettäisessä esimerkissä asianajaja kohtaa vakavia seurauksia, kun hän käytti ChatGPT:tä auttamaan kirjoittamaan tuomioistuimia, joissa mainittiin kuusi olematonta tekoälytyökalun keksimää tapausta. Jos tekoäly hallusinoisi menetelmiä, joita ei ole olemassa, ja sitten soveltaisi niitä koodin kirjoittamiseen, se johtaisi ajanhukkaan "korjaukseen", jota ei voida kääntää. Lisäksi OpenAI:n mukaan GPT-4 valkopaperi, uusia hyökkäyksiä, jailbreakit ja uudet käytökset havaitaan ajan myötä, ja niitä on vaikea estää. Siksi huolellista harkintaa vaaditaan sen varmistamiseksi, että tekoälyn tietoturvatyökalut ja kolmannen osapuolen ratkaisut tarkistetaan ja päivitetään säännöllisesti, jotta ne eivät joudu tahattomiin takaoviin järjestelmään.

Luottaa vai ei luottaa?

On mielenkiintoista nähdä generatiivisen tekoälyn nopea käyttöönotto nollaluottamusliikkeen huipulla. Suurin osa kyberturvallisuustyökaluista on rakennettu ajatukselle, että organisaatioiden ei koskaan pitäisi luottaa, aina varmistaa. Generatiivinen tekoäly perustuu periaatteelle luontainen luottamus tietoihin, jotka tunnetut ja tuntemattomat lähteet ovat saaneet sen saataville. Tämä periaatteiden yhteentörmäys näyttää sopivalta vertauskuvalta sinnikkään kamppailuorganisaatioiden kohtaaman oikean tasapainon löytämisessä turvallisuuden ja tuottavuuden välillä, mikä tuntuu erityisen pahentuneelta tällä hetkellä.

Vaikka generatiivinen tekoäly ei ehkä vielä ole sitä pyhän maljan maljaa, jota DevSecOps-tiimit toivoivat, se auttaa edistymään asteittain haavoittuvuuksien vähentämisessä. Toistaiseksi sitä voidaan käyttää yksinkertaisten korjausten tekemiseen. Monimutkaisempia korjauksia varten heidän on otettava käyttöön verify-to-trust -menetelmä, joka hyödyntää tekoälyn tehoa koodin kirjoittaneiden ja omistavien kehittäjien tietämyksen ohjaamana.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-