Организации по всему миру стремятся внедрить технологии ИИ в свои программы и инструменты кибербезопасности. А большинство (65%) разработчиков использовать или планировать использование ИИ в тестировании в ближайшие три года. Есть много приложений безопасности, которые выиграют от генеративного ИИ, но является ли исправление кода одним из них?
Для многих команд DevSecOps генеративный ИИ представляет собой святой Грааль для устранения их растущих незавершенных работ по уязвимостям. Более половины (66%) организаций говорят, что их невыполненные работы состоят из более чем 100,000 XNUMX уязвимостей, и более двух третей результатов статического тестирования безопасности приложений (SAST) остаются открытыми через три месяца после обнаружения, при этом 50% остаются открытыми через 363 дня. Мечта состоит в том, чтобы разработчик мог просто попросить ChatGPT «исправить эту уязвимость», и часы и дни, ранее потраченные на устранение уязвимостей, остались бы в прошлом.
Теоретически это не совсем сумасшедшая идея. В конце концов, машинное обучение годами эффективно использовалось в инструментах кибербезопасности для автоматизации процессов и экономии времени — ИИ чрезвычайно полезен при решении простых повторяющихся задач. Но применение генеративного ИИ к приложениям со сложным кодом на практике имеет некоторые недостатки. Без человеческого надзора и четкой команды команды DevSecOps могут создать больше проблем, чем решить.
Преимущества и ограничения генеративного ИИ, связанные с исправлением кода
Инструменты искусственного интеллекта могут быть невероятно мощными инструментами для простого анализа кибербезопасности с низким уровнем риска, мониторинга или даже устранения недостатков. Беспокойство возникает, когда ставки становятся косвенными. В конечном счете это вопрос доверия.
Исследователи и разработчики все еще определяют возможности новой технологии генеративного ИИ для производить сложные исправления кода. Генеративный ИИ опирается на существующую доступную информацию для принятия решений. Это может быть полезно для таких вещей, как перевод кода с одного языка на другой или исправление известных ошибок. Например, если вы попросите ChatGPT «написать этот код JavaScript на Python», вы, скорее всего, получите хороший результат. Было бы полезно использовать его для исправления конфигурации облачной безопасности, потому что соответствующая документация для этого общедоступна и ее легко найти, а ИИ может следовать простым инструкциям.
Однако устранение большинства уязвимостей в коде требует действия с учетом уникального набора обстоятельств и деталей, что представляет собой более сложный сценарий для навигации ИИ. ИИ может предоставить «исправление», но без проверки ему нельзя доверять. Генеративный ИИ по определению не может создать что-то, что еще не известно, и может испытывать галлюцинации, приводящие к фальшивым выводам.
В недавнем примере юрист столкнулся с серьезными последствиями после того, как использовал ChatGPT для написания судебных исков, в которых упоминались шесть несуществующих дел, изобретенных инструментом ИИ. Если бы ИИ галлюцинировал методы, которых не существует, а затем применил бы эти методы к написанию кода, это привело бы к напрасной трате времени на «исправление», которое невозможно скомпилировать. Кроме того, согласно OpenAI Технический документ GPT-4, со временем будут обнаружены новые эксплойты, джейлбрейки и новые модели поведения, и их будет трудно предотвратить. Поэтому необходимо внимательно следить за тем, чтобы инструменты безопасности ИИ и сторонние решения проверялись и регулярно обновлялись, чтобы они не стали непреднамеренными лазейками в систему.
Доверять или не доверять?
Интересно наблюдать за быстрым внедрением генеративного ИИ в разгар движения за нулевое доверие. Большинство инструментов кибербезопасности основаны на идее, что организации никогда не должны доверять, всегда проверяйте. Генеративный ИИ построен на принципе врожденного доверия к информации, доступной ему из известных и неизвестных источников. Это столкновение принципов кажется подходящей метафорой постоянной борьбы, с которой сталкиваются организации в поисках правильного баланса между безопасностью и производительностью, которая в настоящий момент особенно обостряется.
Хотя генеративный ИИ, возможно, еще не стал святым Граалем, на который надеялись команды DevSecOps, он поможет добиться постепенного прогресса в сокращении незавершенных работ по уязвимостям. На данный момент его можно применять для простых исправлений. Для более сложных исправлений им потребуется принять методологию «проверить, чтобы доверять», которая использует мощь ИИ, руководствуясь знаниями разработчиков, которые написали код и владеют им.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-
- :имеет
- :является
- :нет
- $UP
- 000
- 100
- 7
- a
- По
- действующий
- Дополнительно
- принять
- Принятие
- Преимущества
- После
- AI
- Все
- уже
- всегда
- an
- анализ
- и
- Другой
- Применение
- безопасность приложения
- Приложения
- прикладной
- Применить
- Применение
- МЫ
- At
- автоматизировать
- доступен
- Черные ходы
- Баланс
- BE
- , так как:
- становиться
- было
- полезный
- польза
- между
- построенный
- но
- by
- CAN
- возможности
- тщательный
- случаев
- ChatGPT
- обстоятельства
- привел
- столкновение
- Очистка
- облако
- Cloud Security
- код
- комплекс
- Состоит
- Беспокойство
- Конфигурация
- Последствия
- логически вытекающий
- рассмотрение
- может
- корт
- Судебные документы
- сумасшедший
- Создайте
- Создающий
- Информационная безопасность
- Дней
- решения
- определение
- подробнее
- обнаружение
- определения
- Застройщик
- застройщиков
- трудный
- открытый
- do
- документации
- мечта
- динамический
- легко
- фактически
- конец
- обеспечивать
- полностью
- Даже
- пример
- существовать
- существующий
- опыт
- использует
- экспресс
- Face
- всего лишь пяти граммов героина
- не настоящие
- опилки
- обнаружение
- результаты
- примерка
- фиксированный
- недостатки
- следовать
- Что касается
- найденный
- от
- генеративный
- Генеративный ИИ
- получить
- хорошо
- Половина
- высота
- помощь
- полезный
- надеясь
- ЧАСЫ
- HTML
- HTTPS
- Очень
- человек
- идея
- if
- in
- повышение
- невероятно
- информация
- свойственный
- инструкции
- интересный
- в
- введение
- Изобретенный
- вопрос
- IT
- JavaScript
- JPG
- знания
- известный
- язык
- адвокат
- изучение
- такое как
- Вероятно
- недостатки
- ll
- низкий риск
- машина
- обучение с помощью машины
- сделанный
- Большинство
- сделать
- многих
- Методология
- методы
- может быть
- момент
- Мониторинг
- месяцев
- БОЛЕЕ
- самых
- движение
- Откройте
- Необходимость
- потребности
- никогда
- Новые
- следующий
- несуществующий
- сейчас
- of
- on
- ONE
- открытый
- OpenAI
- or
- заказ
- организации
- внешний
- за
- надзор
- собственный
- особенно
- мимо
- план
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- мощностью
- мощный
- практика
- предотвращать
- предварительно
- принцип
- Принципы
- проблемам
- Процессы
- производительность
- Программы
- Прогресс
- обеспечивать
- публично
- Питон
- Гонки
- быстро
- последний
- снижение
- регулярно
- Связанный
- соответствующие
- оставаться
- осталось
- повторяющийся
- Сообщается
- представляет
- обязательный
- требуется
- результат
- правую
- s
- Сохранить
- сообщили
- сценарий
- безопасность
- посмотреть
- кажется
- серьезный
- набор
- должен
- просто
- просто
- ШЕСТЬ
- So
- Решения
- РЕШАТЬ
- некоторые
- удалось
- Источники
- потраченный
- По-прежнему
- Бороться
- система
- задачи
- команды
- технологии
- Технологии
- Тестирование
- чем
- который
- Ассоциация
- информация
- их
- Их
- тогда
- теория
- Там.
- они
- задача
- вещи
- сторонние
- этой
- те
- три
- время
- в
- инструментом
- инструменты
- Доверие
- надежных
- две трети
- В конечном счете
- созданного
- неизвестный
- обновление
- использование
- используемый
- через
- проверка
- проверить
- прошедшая проверка
- Уязвимости
- уязвимость
- известный
- были
- когда
- который
- КТО
- будете
- без
- по всему миру
- бы
- записывать
- письмо
- лет
- еще
- Ты
- ВАШЕ
- зефирнет