코드 수정에 제너레이티브 AI를 신뢰할 수 있습니까?

플라톤에 의해 재발행

팔로워 : 0

Generative AI가 코드 수정을 신뢰할 수 있습니까? PlatoBlockchain 데이터 인텔리전스. 수직 검색. 일체 포함.

전 세계 조직은 AI 기술을 사이버 보안 프로그램 및 도구에 채택하기 위해 경쟁하고 있습니다. ㅏ 대다수(65%)의 개발자 사용 또는 계획 테스트 노력에 AI 사용 앞으로 XNUMX년 안에. 제너레이티브 AI의 이점을 얻을 수 있는 많은 보안 애플리케이션이 있지만 코드 수정이 그 중 하나입니까?

많은 DevSecOps 팀에게 생성 AI는 증가하는 취약성 백로그를 제거하기 위한 성배를 나타냅니다. 절반 이상(66%) 의 조직이 백로그가 100,000개 이상의 취약점으로 구성되어 있으며 정적 애플리케이션 보안 테스트(SAST) 보고 결과의 XNUMX/XNUMX 이상이 탐지 후 XNUMX개월 동안 공개된 상태로 남아 있다고 말합니다. 50일 후 363% 남음. 꿈은 개발자가 단순히 ChatGPT에 "이 취약점을 수정"하도록 요청할 수 있고 이전에 취약점을 수정하는 데 소요된 시간과 날짜는 과거의 일이 되는 것입니다.

이론적으로 완전히 미친 생각은 아닙니다. 결국 기계 학습은 프로세스를 자동화하고 시간을 절약하기 위해 사이버 보안 도구에서 수년 동안 효과적으로 사용되었습니다. AI는 단순하고 반복적인 작업에 적용될 때 매우 유용합니다. 그러나 복잡한 코드 애플리케이션에 생성 AI를 적용하는 것은 실제로 몇 가지 결함이 있습니다. 인간의 감독과 명시적 명령이 없으면 DevSecOps 팀은 해결하는 것보다 더 많은 문제를 만들 수 있습니다.

코드 수정과 관련된 생성 AI의 장점 및 제한 사항

AI 도구는 간단하고 위험도가 낮은 사이버 보안 분석, 모니터링 또는 치료 요구를 위한 매우 강력한 도구가 될 수 있습니다. 이해 관계가 결과적으로 될 때 우려가 발생합니다. 이것은 결국 신뢰의 문제입니다.

연구원과 개발자는 여전히 새로운 제너레이티브 AI 기술의 기능을 결정하고 있습니다. 복잡한 코드 수정 생성. 제너레이티브 AI는 결정을 내리기 위해 기존의 사용 가능한 정보에 의존합니다. 이는 한 언어에서 다른 언어로 코드를 번역하거나 잘 알려진 결함을 수정하는 것과 같은 작업에 유용할 수 있습니다. 예를 들어 ChatGPT에게 "이 자바스크립트 코드를 파이썬으로 작성하라"고 요청하면 좋은 결과를 얻을 가능성이 높습니다. 이를 사용하여 클라우드 보안 구성을 수정하면 관련 문서가 공개되어 쉽게 찾을 수 있고 AI가 간단한 지침을 따를 수 있기 때문에 도움이 될 것입니다.

그러나 대부분의 코드 취약점을 수정하려면 고유한 상황과 세부 사항에 따라 행동해야 하므로 AI가 탐색할 수 있는 더 복잡한 시나리오가 도입됩니다. AI는 "수정"을 제공할 수 있지만 확인 없이는 신뢰할 수 없습니다. 제너레이티브 AI는 정의상 아직 알려지지 않은 것을 만들 수 없으며 가짜 출력으로 이어지는 환각을 경험할 수 있습니다.

최근 사례에서 변호사는 ChatGPT를 사용하여 AI 도구가 발명한 존재하지 않는 XNUMX건의 사건을 인용한 법원 서류 작성을 도운 후 심각한 결과에 직면했습니다. AI가 존재하지 않는 방법을 환각한 다음 해당 방법을 코드 작성에 적용한다면 컴파일할 수 없는 "수정"에 시간을 낭비하게 될 것입니다. 또한 OpenAI의 GPT-4 백서, 새로운 익스플로잇, 탈옥 및 긴급 행동은 시간이 지남에 따라 발견되고 예방하기 어려울 것입니다. 따라서 AI 보안 도구와 타사 솔루션이 시스템에 대한 의도하지 않은 백도어가 되지 않도록 정기적으로 업데이트하고 조사하도록 신중하게 고려해야 합니다.

신뢰하거나 신뢰하지 않습니까?

제로 트러스트 운동이 한창일 때 제너레이티브 AI가 빠르게 채택되는 것을 보는 것은 흥미로운 역학입니다. 대부분의 사이버 보안 도구는 조직이 절대 신뢰해서는 안 되며 항상 확인해야 한다는 생각을 기반으로 합니다. 제너레이티브 AI는 알려지거나 알려지지 않은 소스에서 제공되는 정보에 대한 고유한 신뢰 원칙을 기반으로 합니다. 이러한 원칙의 충돌은 조직이 보안과 생산성 사이의 올바른 균형을 찾는 데 직면하는 끈질긴 투쟁에 대한 적절한 은유처럼 보이며, 이는 현재 특히 악화되고 있습니다.

생성 AI는 아직 DevSecOps 팀이 기대했던 성배가 아닐 수 있지만 취약성 백로그를 줄이는 데 점진적인 진전을 이루는 데 도움이 될 것입니다. 지금은 간단한 수정에 적용할 수 있습니다. 보다 복잡한 수정을 위해서는 코드를 작성하고 소유한 개발자의 지식에 따라 AI의 힘을 활용하는 신뢰 검증 방법론을 채택해야 합니다.