Organisasjoner over hele verden er i et kappløp om å ta i bruk AI-teknologier i deres cybersikkerhetsprogrammer og -verktøy. EN flertall (65 %) av utviklerne bruke eller planlegge bruke AI i testarbeid i de neste tre årene. Det er mange sikkerhetsapplikasjoner som vil dra nytte av generativ AI, men er fiksing av kode en av dem?
For mange DevSecOps-team representerer generativ AI den hellige gral for å fjerne deres økende sårbarhet. Godt over halvparten (66 %) av organisasjonene sier at deres etterslep består av mer enn 100,000 XNUMX sårbarheter, og over to tredjedeler av statisk applikasjonssikkerhetstesting (SAST) rapporterte funn forblir åpne tre måneder etter oppdagelse, med 50 % gjenstår åpent etter 363 dager. Drømmen er at en utvikler ganske enkelt kan be ChatGPT om å "fikse denne sårbarheten", og timene og dagene som tidligere ble brukt på å utbedre sårbarheter ville være en saga blott.
Det er ikke en helt sprø idé, i teorien. Tross alt har maskinlæring blitt brukt effektivt i cybersikkerhetsverktøy i årevis for å automatisere prosesser og spare tid – AI er enormt fordelaktig når det brukes på enkle, repeterende oppgaver. Men å bruke generativ AI på komplekse kodeapplikasjoner har noen feil i praksis. Uten menneskelig tilsyn og uttrykkelig kommando, kan DevSecOps-team ende opp med å skape flere problemer enn de løser.
Generative AI-fordeler og begrensninger knyttet til fiksingskode
AI-verktøy kan være utrolig kraftige verktøy for enkel, lavrisiko cybersikkerhetsanalyse, overvåking eller til og med utbedringsbehov. Bekymringen oppstår når innsatsen blir konsekvensmessig. Dette er til syvende og sist et spørsmål om tillit.
Forskere og utviklere bestemmer fortsatt egenskapene til ny generativ AI-teknologi produsere komplekse kodefikser. Generativ AI er avhengig av eksisterende, tilgjengelig informasjon for å ta beslutninger. Dette kan være nyttig for ting som å oversette kode fra ett språk til et annet, eller fikse velkjente feil. Hvis du for eksempel ber ChatGPT om å "skrive denne JavaScript-koden i Python", vil du sannsynligvis få et godt resultat. Å bruke den til å fikse en skysikkerhetskonfigurasjon ville være nyttig fordi den relevante dokumentasjonen for å gjøre det er offentlig tilgjengelig og lett å finne, og AI kan følge de enkle instruksjonene.
Å fikse de fleste kodesårbarheter krever imidlertid å handle på et unikt sett med omstendigheter og detaljer, og introdusere et mer komplekst scenario for AI å navigere. AI kan gi en "fix", men uten bekreftelse bør den ikke stoles på. Generativ AI kan per definisjon ikke skape noe som ikke allerede er kjent, og det kan oppleve hallusinasjoner som resulterer i falske utdata.
I et nylig eksempel står en advokat overfor alvorlige konsekvenser etter å ha brukt ChatGPT for å hjelpe til med å skrive rettssaker som siterte seks ikke-eksisterende saker AI-verktøyet fant opp. Hvis AI skulle hallusinere metoder som ikke eksisterer og deretter bruke disse metodene for å skrive kode, ville det resultere i bortkastet tid på en "fix" som ikke kan kompileres. I tillegg, ifølge OpenAI's GPT-4 hvitbok, nye utnyttelser, jailbreaks og fremvoksende atferd vil bli oppdaget over tid og være vanskelig å forhindre. Det kreves derfor nøye vurdering for å sikre at AI-sikkerhetsverktøy og tredjepartsløsninger blir kontrollert og jevnlig oppdatert for å sikre at de ikke blir utilsiktede bakdører inn i systemet.
Å stole på eller ikke å stole på?
Det er en interessant dynamikk å se den raske innføringen av generativ AI utspille seg på høyden av null-tillit-bevegelsen. Flertallet av cybersikkerhetsverktøy er bygget på ideen om at organisasjoner aldri skal stole på, alltid verifisere. Generativ AI er bygget på prinsippet om iboende tillit til informasjonen som er gjort tilgjengelig for den av kjente og ukjente kilder. Dette prinsippsammenstøtet virker som en passende metafor for den vedvarende kampen organisasjoner står overfor for å finne den rette balansen mellom sikkerhet og produktivitet, som føles spesielt forverret i dette øyeblikket.
Selv om generativ AI ennå ikke er den hellige gral DevSecOps-teamene håpet på, vil det bidra til å gjøre gradvis fremskritt med å redusere sårbarhetsetterslep. Foreløpig kan det brukes til å gjøre enkle rettelser. For mer komplekse rettinger, må de ta i bruk en verify-to-trust-metodikk som utnytter kraften til AI veiledet av kunnskapen til utviklerne som skrev og eier koden.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-
- : har
- :er
- :ikke
- $OPP
- 000
- 100
- 7
- a
- Ifølge
- skuespill
- I tillegg
- adoptere
- Adopsjon
- fordeler
- Etter
- AI
- Alle
- allerede
- alltid
- an
- analyse
- og
- En annen
- Søknad
- applikasjonssikkerhet
- søknader
- anvendt
- Påfør
- påføring
- ER
- At
- automatisere
- tilgjengelig
- Bakdører
- Balansere
- BE
- fordi
- bli
- vært
- gunstig
- nytte
- mellom
- bygget
- men
- by
- CAN
- evner
- forsiktig
- saker
- ChatGPT
- omstendigheter
- sitert
- Clash
- Clearing
- Cloud
- Cloud Security
- kode
- komplekse
- Omfattet
- Bekymring
- Konfigurasjon
- Konsekvenser
- følge
- hensyn
- kunne
- Court
- Rettsarkiv
- gal
- skape
- Opprette
- Cybersecurity
- Dager
- avgjørelser
- definisjon
- detaljer
- Gjenkjenning
- bestemme
- Utvikler
- utviklere
- vanskelig
- oppdaget
- do
- dokumentasjon
- drøm
- dynamisk
- lett
- effektivt
- slutt
- sikre
- fullstendig
- Selv
- eksempel
- eksisterer
- eksisterende
- erfaring
- exploits
- ekspress
- Face
- vendt
- forfalskning
- registreringer
- finne
- funn
- fitting
- Fix
- feil
- følge
- Til
- funnet
- fra
- generative
- Generativ AI
- få
- god
- Halvparten
- høyde
- hjelpe
- nyttig
- håper
- TIMER
- HTML
- HTTPS
- Enormt
- menneskelig
- Tanken
- if
- in
- økende
- utrolig
- informasjon
- iboende
- instruksjoner
- interessant
- inn
- innføre
- Oppfunnet
- utstedelse
- IT
- Javascript
- jpg
- kunnskap
- kjent
- Språk
- advokat
- læring
- i likhet med
- Sannsynlig
- begrensninger
- ll
- lav risiko
- maskin
- maskinlæring
- laget
- Flertall
- gjøre
- mange
- metodikk
- metoder
- kunne
- øyeblikk
- overvåking
- måneder
- mer
- mest
- bevegelse
- Naviger
- Trenger
- behov
- aldri
- Ny
- neste
- ikke-eksisterende
- nå
- of
- on
- ONE
- åpen
- OpenAI
- or
- rekkefølge
- organisasjoner
- ut
- enn
- oppsyn
- egen
- spesielt
- Past
- fly
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- makt
- kraftig
- praksis
- forebygge
- tidligere
- prinsipp
- prinsipper
- problemer
- Prosesser
- produktivitet
- programmer
- Progress
- gi
- offentlig
- Python
- Race
- rask
- nylig
- redusere
- regelmessig
- i slekt
- relevant
- forbli
- gjenværende
- repeterende
- rapportert
- representerer
- påkrevd
- Krever
- resultere
- ikke sant
- s
- Spar
- sier
- scenario
- sikkerhet
- se
- synes
- alvorlig
- sett
- bør
- Enkelt
- ganske enkelt
- SIX
- So
- Solutions
- LØSE
- noen
- noe
- Kilder
- brukt
- Still
- Struggle
- system
- oppgaver
- lag
- Technologies
- Teknologi
- Testing
- enn
- Det
- De
- informasjonen
- deres
- Dem
- deretter
- teori
- Der.
- de
- ting
- ting
- tredjeparts
- denne
- De
- tre
- tid
- til
- verktøy
- verktøy
- Stol
- klarert
- to tredjedeler
- Til syvende og sist
- unik
- ukjent
- oppdatert
- bruke
- brukt
- ved hjelp av
- Verifisering
- verifisere
- undersøkt
- Sikkerhetsproblemer
- sårbarhet
- velkjent
- var
- når
- hvilken
- HVEM
- vil
- med
- uten
- verdensomspennende
- ville
- skrive
- skriving
- år
- ennå
- Du
- Din
- zephyrnet
