世界中の組織が、自社のサイバーセキュリティ プログラムやツールに AI テクノロジーを導入しようと競い合っています。 あ 開発者の大多数 (65%) 使用するか計画する テスト作業で AI を使用する 今後 XNUMX 年間で。 生成 AI の恩恵を受けるセキュリティ アプリケーションは数多くありますが、コードの修正もその XNUMX つでしょうか?
多くの DevSecOps チームにとって、生成 AI は増大する脆弱性のバックログを解消するための聖杯です。 半分をはるかに超える (66%) の組織は、バックログに 100,000 件を超える脆弱性が含まれており、静的アプリケーション セキュリティ テスト (SAST) で報告された調査結果の XNUMX 分の XNUMX 以上が、検出後 XNUMX か月たっても未解決のままです。 50 日後も 363% は開いたまま。 夢は、開発者が ChatGPT に「この脆弱性を修正してください」と要求するだけで、これまで脆弱性の修正に費やしていた時間や日数が過去のものになることです。
理論的には、これはまったくおかしなアイデアではありません。 結局のところ、機械学習はプロセスを自動化し、時間を節約するためにサイバーセキュリティ ツールで長年にわたって効果的に使用されてきました。AI は、単純で反復的なタスクに適用すると非常に有益です。 しかし、実際には、生成 AI を複雑なコード アプリケーションに適用するにはいくつかの欠陥があります。 人間の監視と明示的な指示がなければ、DevSecOps チームは解決するよりも多くの問題を引き起こす可能性があります。
コードの修正に関連する生成 AI の利点と制限
AI ツールは、シンプルで低リスクのサイバーセキュリティ分析、監視、さらには修復のニーズに対応する非常に強力なツールとなり得ます。 リスクが重大になると懸念が生じます。 これは最終的には信頼の問題です。
研究者と開発者は、新しい生成 AI テクノロジーの機能をまだ検討中です。 複雑なコード修正を生成する。 生成 AI は、意思決定を行うために既存の利用可能な情報に依存します。 これは、コードをある言語から別の言語に翻訳したり、既知の欠陥を修正したりする場合に役立ちます。 たとえば、ChatGPT に「この JavaScript コードを Python で書いてください」と依頼すると、おそらく良い結果が得られます。 これを使用してクラウド セキュリティ構成を修正すると、そのための関連ドキュメントが公開され、簡単に見つけられ、AI が簡単な指示に従うことができるため、役立ちます。
ただし、ほとんどのコードの脆弱性を修正するには、一連の固有の状況と詳細に基づいて行動する必要があり、AI がナビゲートするためのより複雑なシナリオが導入されます。 AI は「修正」を提供するかもしれませんが、検証がなければ信頼すべきではありません。 定義上、生成 AI はまだ知られていないものを作成することはできず、偽の出力をもたらす幻覚を経験する可能性があります。
最近の例では、弁護士が ChatGPT を使用して、AI ツールがでっち上げた XNUMX つの存在しない事件を引用した裁判所への提出書類の作成を支援した後、深刻な結果に直面しています。 AI が存在しないメソッドを幻覚させ、そのメソッドをコードの作成に適用した場合、コンパイルできない「修正」に時間を無駄にすることになります。 さらに、OpenAI によると、 GPT-4 ホワイトペーパー、新しいエクスプロイト、ジェイルブレイク、および新たな動作は時間の経過とともに発見され、防ぐのが困難になります。 したがって、AI セキュリティ ツールとサードパーティ ソリューションが精査され、システムへの意図しないバックドアにならないように定期的に更新されるようにするには、慎重な検討が必要です。
信頼するか、信頼しないか?
ゼロトラスト運動の最盛期に生成 AI の急速な導入が進むのを見るのは、興味深い力関係です。 サイバーセキュリティ ツールの大部分は、組織は決して信頼すべきではなく、常に検証すべきであるという考えに基づいて構築されています。 生成 AI は、既知および未知のソースから利用できる情報に対する固有の信頼の原則に基づいて構築されています。 この原則の衝突は、セキュリティと生産性の間の適切なバランスを見つける際に組織が直面する永続的な闘争の適切な比喩のように思えますが、この闘争は現在特に悪化していると感じられます。
生成 AI はまだ DevSecOps チームが期待していた聖杯ではないかもしれませんが、脆弱性のバックログを減らす上で段階的に進歩するのに役立ちます。 現時点では、簡単な修正を行うために適用できます。 より複雑な修正の場合は、コードを作成して所有する開発者の知識に基づいて AI の力を活用する、信頼性の検証方法を採用する必要があります。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-
- :持っている
- :は
- :not
- $UP
- 000
- 100
- 7
- a
- 従った
- 演技
- さらに
- 採用
- 養子縁組
- 利点
- 後
- AI
- すべて
- 既に
- 常に
- an
- 分析
- および
- 別の
- 申し込み
- アプリケーションセキュリティ
- 適用された
- 申し込む
- 適用
- です
- At
- 自動化する
- 利用できます
- バックドア
- BE
- なぜなら
- になる
- き
- 有益な
- 恩恵
- の間に
- 内蔵
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- 機能
- 注意深い
- 例
- AI言語モデルを活用してコードのデバッグからデータの異常検出まで、
- 状況
- 引用された
- ザ・クラッシュ
- 決済
- クラウド
- クラウドセキュリティ
- コード
- 複雑な
- 構成
- 懸念
- 結果
- 結果的
- 考慮
- 可能性
- 裁判所
- 裁判所への提出書類
- クレイジー
- 作ります
- 作成
- サイバーセキュリティ
- 日
- 決定
- 定義
- 細部
- 検出
- 決定
- Developer
- 開発者
- 難しい
- 発見
- do
- ドキュメント
- 夢
- ダイナミック
- 簡単に
- 効果的に
- end
- 確保
- 完全に
- さらに
- 例
- 存在する
- 既存の
- 体験
- エクスプロイト
- 表現します
- 顔
- 向い
- 偽
- 提出
- 発見
- 調査結果
- フィッティング
- 修正する
- 欠陥
- 発見
- から
- 生々しい
- 生成AI
- 取得する
- 良い
- 半分
- 高さ
- 助けます
- 役立つ
- 期待して
- HOURS
- HTML
- HTTPS
- すごく
- 人間
- アイデア
- if
- in
- の増加
- 信じられないほど
- 情報
- 固有の
- 説明書
- 興味深い
- に
- 導入
- 発明された
- 問題
- IT
- JavaScriptを
- JPG
- 知識
- 既知の
- 言語
- 弁護士
- 学習
- ような
- 可能性が高い
- 制限
- ll
- リスクが低い
- 機械
- 機械学習
- 製
- 大多数
- make
- 多くの
- 方法論
- メソッド
- かもしれない
- 瞬間
- モニタリング
- ヶ月
- 他には?
- 最も
- 運動
- ナビゲート
- 必要
- ニーズ
- 決して
- 新作
- 次の
- 存在しない
- 今
- of
- on
- ONE
- 開いた
- OpenAI
- or
- 注文
- 組織
- でる
- が
- 見落とし
- 自分の
- 特に
- 過去
- 計画
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレイ
- 電力
- 強力な
- 練習
- 防ぐ
- 前に
- 原則
- 原則
- 問題
- ラボレーション
- 生産性
- プログラム
- 進捗
- 提供します
- 公然と
- Python
- レース
- 急速な
- 最近
- 縮小
- 定期的に
- 関連する
- 関連した
- 残る
- 残り
- 反復的な
- 報告
- 表し
- の提出が必要です
- 必要
- 結果
- 右
- s
- Save
- 言う
- シナリオ
- セキュリティ
- と思われる
- 深刻な
- セッションに
- すべき
- 簡単な拡張で
- 単に
- SIX
- So
- ソリューション
- 解決する
- 一部
- 何か
- ソース
- 費やした
- まだ
- 奮闘
- タスク
- チーム
- テクノロジー
- テクノロジー
- テスト
- より
- それ
- 情報
- アプリ環境に合わせて
- それら
- その後
- 理論
- そこ。
- 彼ら
- もの
- 物事
- サードパーティ
- この
- それらの
- 三
- 時間
- 〜へ
- ツール
- 豊富なツール群
- 信頼
- 信頼されている
- 3分の2
- 最終的に
- ユニーク
- 未知の
- 更新しました
- つかいます
- 中古
- Verification
- 確認する
- 精査
- 脆弱性
- 脆弱性
- 周知
- した
- いつ
- which
- 誰
- 意志
- 無し
- でしょう
- 書きます
- 書き込み
- 年
- まだ
- You
- あなたの
- ゼファーネット
