Megbízható-e a generatív mesterséges intelligencia a kódjavításban?

A szervezetek világszerte versenyt futnak azért, hogy az AI-technológiákat beépítsék kiberbiztonsági programjaikba és eszközeikbe. A a fejlesztők többsége (65%) használni vagy tervezni mesterséges intelligencia használata a tesztelés során a következő három évben. Sok olyan biztonsági alkalmazás létezik, amelyeknek előnyére válik a generatív mesterséges intelligencia, de a kódjavítás ezek egyike?

Sok DevSecOps csapat számára a generatív mesterséges intelligencia jelenti a szent grált a növekvő sebezhetőségi lemaradások felszámolásában. Jóval több mint a fele (66%) a szervezetek többsége azt állítja, hogy lemaradásaik több mint 100,000 XNUMX sebezhetőséget tartalmaznak, és a statikus alkalmazások biztonsági tesztelésének (SAST) jelentett megállapításainak több mint kétharmada az észlelés után három hónappal nyitva marad. 50% nyitva marad 363 nap után. Az álom az, hogy a fejlesztő egyszerűen megkérheti a ChatGPT-t, hogy „javítsa ki ezt a sebezhetőséget”, és a sebezhetőségek kijavításával korábban eltöltött órák és napok már a múlté.

Elméletileg nem teljesen őrült ötlet. Végül is a gépi tanulást évek óta hatékonyan használják a kiberbiztonsági eszközökben a folyamatok automatizálására és az időmegtakarításra – az AI rendkívül előnyös, ha egyszerű, ismétlődő feladatokra alkalmazzák. De a generatív AI komplex kódalkalmazásokra való alkalmazása a gyakorlatban néhány hibával jár. Emberi felügyelet és kifejezett parancs nélkül a DevSecOps csapatok több problémát okozhatnak, mint amennyit megoldanak.

Generatív mesterséges intelligencia előnyei és korlátai a javítási kóddal kapcsolatban

Az AI-eszközök hihetetlenül hatékony eszközök lehetnek az egyszerű, alacsony kockázatú kiberbiztonsági elemzésekhez, megfigyeléshez vagy akár orvoslási igényekhez. Az aggodalom akkor merül fel, amikor a tét következményessé válik. Ez végső soron bizalom kérdése.

A kutatók és a fejlesztők még mindig meghatározzák az új generatív AI-technológia képességeit bonyolult kódjavításokat készíteni. A generatív mesterséges intelligencia a meglévő, elérhető információkra támaszkodik a döntések meghozatalához. Ez hasznos lehet például a kód egyik nyelvről a másikra történő lefordítására vagy a jól ismert hibák kijavítására. Ha például arra kéri a ChatGPT-t, hogy „írja meg ezt a JavaScript-kódot Pythonban”, akkor valószínűleg jó eredményt fog kapni. Hasznos lenne a felhőbiztonsági konfiguráció javítására használni, mert az ehhez szükséges dokumentáció nyilvánosan elérhető és könnyen megtalálható, az AI pedig követni tudja az egyszerű utasításokat.

A legtöbb kódsebezhetőség kijavításához azonban egyedi körülmények és részletek alapján kell cselekedni, és egy bonyolultabb forgatókönyvet kell bevezetni az AI számára, hogy navigálhasson. Az AI „javítást” biztosíthat, de ellenőrzés nélkül nem szabad megbízni benne. A generatív mesterséges intelligencia értelemszerűen nem tud olyat létrehozni, ami még nem ismert, és hamis kimeneteket eredményező hallucinációkat tapasztalhat.

Egy közelmúltbeli példa szerint egy ügyvéd súlyos következményekkel néz szembe, miután a ChatGPT-t használta bírósági beadványok írásához, amelyek hat nem létező esetet idéztek, amelyet az AI eszköz talált ki. Ha a mesterséges intelligencia hallucinálna olyan módszereket, amelyek nem léteznek, majd ezeket a módszereket kódírásra alkalmaznák, az időt vesztegetne egy „javításra”, amelyet nem lehet lefordítani. Ráadásul az OpenAI szerint GPT-4 fehér papír, idővel új kizsákmányolásokat, jailbreakeket és feltörekvő viselkedéseket fedeznek fel, amelyeket nehéz megelőzni. Ezért alapos átgondolásra van szükség annak biztosítására, hogy a mesterséges intelligencia biztonsági eszközeit és harmadik féltől származó megoldásait ellenőrizzék és rendszeresen frissítsék, hogy ne kerüljenek véletlenül a rendszerbe.

Bízni vagy nem bízni?

Érdekes dinamika látni a generatív mesterséges intelligencia gyors elterjedését a zéró bizalom mozgalom csúcsán. A kiberbiztonsági eszközök többsége arra az elgondolásra épül, hogy a szervezeteknek soha nem szabad bízniuk, mindig ellenőrizniük kell. A generatív mesterséges intelligencia az ismert és ismeretlen források által rendelkezésére bocsátott információkba vetett belső bizalom elvén alapul. Ez az elvek összeütközése megfelelő metaforának tűnik azoknak a kitartóan küzdő szervezeteknek, amelyekkel a biztonság és a termelékenység közötti megfelelő egyensúly megtalálásában szembe kell nézniük, ami jelenleg különösen súlyosbodott.

Bár a generatív mesterséges intelligencia még nem az a szent grál, amelyre a DevSecOps csapatok számítottak, ez segíteni fog a sebezhetőségi lemaradások csökkentésében. Egyelőre egyszerű javítások elvégzésére használható. Bonyolultabb javítások esetén a megbízhatóság ellenőrzése módszertant kell alkalmazniuk, amely kihasználja a mesterséges intelligencia erejét a kódot szerző és birtokló fejlesztők tudása alapján.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-