Можно ли доверять генеративному ИИ в исправлении вашего кода?

Организации по всему миру стремятся внедрить технологии ИИ в свои программы и инструменты кибербезопасности. А большинство (65%) разработчиков использовать или планировать использование ИИ в тестировании в ближайшие три года. Есть много приложений безопасности, которые выиграют от генеративного ИИ, но является ли исправление кода одним из них?

Для многих команд DevSecOps генеративный ИИ представляет собой святой Грааль для устранения их растущих незавершенных работ по уязвимостям. Более половины (66%) организаций говорят, что их невыполненные работы состоят из более чем 100,000 XNUMX уязвимостей, и более двух третей результатов статического тестирования безопасности приложений (SAST) остаются открытыми через три месяца после обнаружения, при этом 50% остаются открытыми через 363 дня. Мечта состоит в том, чтобы разработчик мог просто попросить ChatGPT «исправить эту уязвимость», и часы и дни, ранее потраченные на устранение уязвимостей, остались бы в прошлом.

Теоретически это не совсем сумасшедшая идея. В конце концов, машинное обучение годами эффективно использовалось в инструментах кибербезопасности для автоматизации процессов и экономии времени — ИИ чрезвычайно полезен при решении простых повторяющихся задач. Но применение генеративного ИИ к приложениям со сложным кодом на практике имеет некоторые недостатки. Без человеческого надзора и четкой команды команды DevSecOps могут создать больше проблем, чем решить.

Преимущества и ограничения генеративного ИИ, связанные с исправлением кода

Инструменты искусственного интеллекта могут быть невероятно мощными инструментами для простого анализа кибербезопасности с низким уровнем риска, мониторинга или даже устранения недостатков. Беспокойство возникает, когда ставки становятся косвенными. В конечном счете это вопрос доверия.

Исследователи и разработчики все еще определяют возможности новой технологии генеративного ИИ для производить сложные исправления кода. Генеративный ИИ опирается на существующую доступную информацию для принятия решений. Это может быть полезно для таких вещей, как перевод кода с одного языка на другой или исправление известных ошибок. Например, если вы попросите ChatGPT «написать этот код JavaScript на Python», вы, скорее всего, получите хороший результат. Было бы полезно использовать его для исправления конфигурации облачной безопасности, потому что соответствующая документация для этого общедоступна и ее легко найти, а ИИ может следовать простым инструкциям.

Однако устранение большинства уязвимостей в коде требует действия с учетом уникального набора обстоятельств и деталей, что представляет собой более сложный сценарий для навигации ИИ. ИИ может предоставить «исправление», но без проверки ему нельзя доверять. Генеративный ИИ по определению не может создать что-то, что еще не известно, и может испытывать галлюцинации, приводящие к фальшивым выводам.

В недавнем примере юрист столкнулся с серьезными последствиями после того, как использовал ChatGPT для написания судебных исков, в которых упоминались шесть несуществующих дел, изобретенных инструментом ИИ. Если бы ИИ галлюцинировал методы, которых не существует, а затем применил бы эти методы к написанию кода, это привело бы к напрасной трате времени на «исправление», которое невозможно скомпилировать. Кроме того, согласно OpenAI Технический документ GPT-4, со временем будут обнаружены новые эксплойты, джейлбрейки и новые модели поведения, и их будет трудно предотвратить. Поэтому необходимо внимательно следить за тем, чтобы инструменты безопасности ИИ и сторонние решения проверялись и регулярно обновлялись, чтобы они не стали непреднамеренными лазейками в систему.

Доверять или не доверять?

Интересно наблюдать за быстрым внедрением генеративного ИИ в разгар движения за нулевое доверие. Большинство инструментов кибербезопасности основаны на идее, что организации никогда не должны доверять, всегда проверяйте. Генеративный ИИ построен на принципе врожденного доверия к информации, доступной ему из известных и неизвестных источников. Это столкновение принципов кажется подходящей метафорой постоянной борьбы, с которой сталкиваются организации в поисках правильного баланса между безопасностью и производительностью, которая в настоящий момент особенно обостряется.

Хотя генеративный ИИ, возможно, еще не стал святым Граалем, на который надеялись команды DevSecOps, он поможет добиться постепенного прогресса в сокращении незавершенных работ по уязвимостям. На данный момент его можно применять для простых исправлений. Для более сложных исправлений им потребуется принять методологию «проверить, чтобы доверять», которая использует мощь ИИ, руководствуясь знаниями разработчиков, которые написали код и владеют им.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-