A IA generativa pode ser confiável para consertar seu código?

Organizações em todo o mundo estão em uma corrida para adotar tecnologias de IA em seus programas e ferramentas de segurança cibernética. A maioria (65%) dos desenvolvedores usar ou planejar usando IA em esforços de teste nos próximos três anos. Existem muitos aplicativos de segurança que se beneficiarão da IA ​​generativa, mas corrigir o código é um deles?

Para muitas equipes de DevSecOps, a IA generativa representa o santo graal para limpar seus crescentes acúmulos de vulnerabilidade. Bem mais da metade (66%) das organizações dizem que suas pendências são compostas por mais de 100,000 vulnerabilidades, e mais de dois terços das descobertas relatadas de testes de segurança de aplicativos estáticos (SAST) permanecem abertas três meses após a detecção, com 50% permanecendo aberto após 363 dias. O sonho é que um desenvolvedor pudesse simplesmente pedir ao ChatGPT para “consertar esta vulnerabilidade”, e as horas e dias gastos anteriormente corrigindo vulnerabilidades seriam coisa do passado.

Não é uma ideia totalmente maluca, em teoria. Afinal, o aprendizado de máquina tem sido usado de forma eficaz em ferramentas de segurança cibernética há anos para automatizar processos e economizar tempo – a IA é extremamente benéfica quando aplicada a tarefas simples e repetitivas. Mas a aplicação de IA generativa a aplicativos de código complexos apresenta algumas falhas, na prática. Sem supervisão humana e comando expresso, as equipes de DevSecOps podem acabar criando mais problemas do que resolvendo.

Vantagens e limitações de IA generativa relacionadas ao código de correção

As ferramentas de IA podem ser ferramentas incrivelmente poderosas para análises simples e de baixo risco de segurança cibernética, monitoramento ou até mesmo necessidades corretivas. A preocupação surge quando as apostas se tornam importantes. Em última análise, isso é uma questão de confiança.

Pesquisadores e desenvolvedores ainda estão determinando as capacidades da nova tecnologia de IA generativa para produzir correções de código complexas. A IA generativa depende de informações existentes e disponíveis para tomar decisões. Isso pode ser útil para coisas como traduzir código de um idioma para outro ou corrigir falhas conhecidas. Por exemplo, se você pedir ao ChatGPT para “escrever este código JavaScript em Python”, provavelmente obterá um bom resultado. Usá-lo para corrigir uma configuração de segurança na nuvem seria útil porque a documentação relevante para isso está disponível publicamente e é facilmente encontrada, e a IA pode seguir as instruções simples.

No entanto, corrigir a maioria das vulnerabilidades de código requer agir em um conjunto exclusivo de circunstâncias e detalhes, apresentando um cenário mais complexo para a IA navegar. A IA pode fornecer uma “correção”, mas sem verificação, ela não deve ser confiável. A IA generativa, por definição, não pode criar algo que ainda não seja conhecido e pode experimentar alucinações que resultam em saídas falsas.

Em um exemplo recente, um advogado está enfrentando sérias consequências depois de usar o ChatGPT para ajudar a redigir processos judiciais que citavam seis casos inexistentes inventados pela ferramenta de IA. Se a IA alucinasse métodos que não existem e então aplicasse esses métodos para escrever código, isso resultaria em perda de tempo em uma “correção” que não pode ser compilada. Além disso, de acordo com o OpenAI Documento GPT-4, novos exploits, jailbreaks e comportamentos emergentes serão descobertos ao longo do tempo e serão difíceis de prevenir. Portanto, é necessária uma consideração cuidadosa para garantir que as ferramentas de segurança de IA e as soluções de terceiros sejam verificadas e atualizadas regularmente para garantir que não se tornem backdoors não intencionais no sistema.

Confiar ou não confiar?

É uma dinâmica interessante ver a rápida adoção da IA ​​generativa se desenrolar no auge do movimento de confiança zero. A maioria das ferramentas de segurança cibernética é construída com base na ideia de que as organizações nunca devem confiar, sempre verificar. A IA generativa é construída com base no princípio da confiança inerente nas informações disponibilizadas a ela por fontes conhecidas e desconhecidas. Esse choque de princípios parece uma metáfora adequada para a luta persistente que as organizações enfrentam para encontrar o equilíbrio certo entre segurança e produtividade, que parece particularmente exacerbado neste momento.

Embora a IA generativa ainda não seja o santo graal que as equipes de DevSecOps esperavam, ela ajudará a fazer progressos incrementais na redução de pendências de vulnerabilidade. Por enquanto, pode ser aplicado para fazer correções simples. Para correções mais complexas, eles precisarão adotar uma metodologia de verificação para confiança que aproveite o poder da IA ​​guiada pelo conhecimento dos desenvolvedores que escreveram e possuem o código.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
• Fonte: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-