Organizacije po vsem svetu tekmujejo za prevzem tehnologij umetne inteligence v svoje programe in orodja za kibernetsko varnost. A večina (65 %) razvijalcev uporabite ali načrtujte uporabo AI pri testiranju v naslednjih treh letih. Obstaja veliko varnostnih aplikacij, ki jim bo koristil generativni AI, toda ali je popravljanje kode ena izmed njih?
Za številne ekipe DevSecOps generativni AI predstavlja sveti gral za čiščenje njihovih vse večjih zaostankov glede ranljivosti. Precej več kot polovica (66%) organizacij pravi, da so njihovi zaostanki sestavljeni iz več kot 100,000 ranljivosti in da več kot dve tretjini sporočenih ugotovitev testiranja statične varnosti aplikacij (SAST) ostane odprtih tri mesece po odkritju, z 50 % ostane odprtih po 363 dneh. Sanje so, da bi lahko razvijalec preprosto zaprosil ChatGPT, da "popravi to ranljivost", in ure in dnevi, ki so bili prej porabljeni za sanacijo ranljivosti, bi bili stvar preteklosti.
V teoriji to ni povsem nora ideja. Konec koncev se strojno učenje že leta učinkovito uporablja v orodjih za kibernetsko varnost za avtomatizacijo procesov in prihranek časa – umetna inteligenca je zelo koristna, če se uporablja za preproste, ponavljajoče se naloge. Toda uporaba generativne umetne inteligence v aplikacijah s kompleksno kodo ima v praksi nekaj pomanjkljivosti. Brez človeškega nadzora in izrecnega ukaza bi lahko ekipe DevSecOps ustvarile več težav, kot jih rešile.
Prednosti in omejitve generativne umetne inteligence v zvezi s kodo za popravljanje
Orodja umetne inteligence so lahko neverjetno zmogljiva orodja za preprosto analizo kibernetske varnosti z nizkim tveganjem, spremljanje ali celo sanacijske potrebe. Skrb se pojavi, ko vložki postanejo posledični. To je navsezadnje vprašanje zaupanja.
Raziskovalci in razvijalci še vedno ugotavljajo zmogljivosti nove generativne tehnologije umetne inteligence ustvarite zapletene popravke kode. Generativna umetna inteligenca se za sprejemanje odločitev opira na obstoječe, razpoložljive informacije. To je lahko koristno za stvari, kot je prevajanje kode iz enega jezika v drugega ali odpravljanje dobro znanih napak. Na primer, če od ChatGPT zahtevate, da »napiše to kodo JavaScript v Pythonu«, boste verjetno dobili dober rezultat. Njegova uporaba za popravljanje varnostne konfiguracije v oblaku bi bila koristna, ker je ustrezna dokumentacija za to javno dostopna in jo je enostavno najti, AI pa lahko sledi preprostim navodilom.
Vendar pa odpravljanje večine ranljivosti kode zahteva ukrepanje na podlagi edinstvenega nabora okoliščin in podrobnosti, kar uvaja bolj zapleten scenarij, po katerem lahko krmari AI. AI lahko zagotovi "popravek", vendar brez preverjanja ne bi smeli zaupati. Generativni AI po definiciji ne more ustvariti nečesa, kar še ni znano, in lahko doživi halucinacije, ki povzročijo lažne rezultate.
V nedavnem primeru se odvetnik sooča z resnimi posledicami, potem ko je uporabil ChatGPT za pomoč pri pisanju sodnih vlog, v katerih je bilo navedenih šest neobstoječih primerov, ki jih je izumilo orodje AI. Če bi umetna inteligenca halucinirala metode, ki ne obstajajo, in bi te metode nato uporabila za pisanje kode, bi to povzročilo izgubo časa za "popravek", ki ga ni mogoče prevesti. Poleg tega glede na OpenAI Bela knjiga GPT-4, bodo sčasoma odkriti novi podvigi, pobegi iz zapora in pojavna vedenja, ki jih bo težko preprečiti. Zato je potreben skrben premislek, da se zagotovi, da so varnostna orodja AI in rešitve tretjih oseb preverjeni in redno posodobljeni, da se zagotovi, da ne postanejo nenamerna stranska vrata v sistem.
Zaupati ali ne zaupati?
Zanimiva dinamika je videti hitro sprejemanje generativne umetne inteligence na vrhuncu gibanja ničelnega zaupanja. Večina orodij za kibernetsko varnost temelji na ideji, da organizacije ne bi smele nikoli zaupati, vedno preverjati. Generativni AI je zgrajen na principu inherentnega zaupanja v informacije, ki so mu na voljo iz znanih in neznanih virov. Ta spopad v načelih se zdi primerna metafora za vztrajen boj, s katerim se soočajo organizacije pri iskanju pravega ravnovesja med varnostjo in produktivnostjo, ki se zdi v tem trenutku še posebej zaostrena.
Čeprav generativni AI morda še ni sveti gral, ki so ga ekipe DevSecOps pričakovale, bo pripomogel k postopnemu napredku pri zmanjševanju zaostankov ranljivosti. Za zdaj ga je mogoče uporabiti za preproste popravke. Za bolj zapletene popravke bodo morali sprejeti metodologijo verify-to-trust, ki izkorišča moč umetne inteligence, ki jo vodi znanje razvijalcev, ki so napisali in lastniki kode.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
- vir: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-
- :ima
- : je
- :ne
- $GOR
- 000
- 100
- 7
- a
- Po
- igrati
- Poleg tega
- sprejme
- Sprejetje
- Prednosti
- po
- AI
- vsi
- že
- vedno
- an
- Analiza
- in
- Še ena
- uporaba
- varnost aplikacije
- aplikacije
- uporabna
- Uporabi
- Uporaba
- SE
- At
- avtomatizirati
- Na voljo
- Skrite
- Ravnovesje
- BE
- ker
- postanejo
- bilo
- koristno
- koristi
- med
- zgrajena
- vendar
- by
- CAN
- Zmogljivosti
- previdni
- primeri
- ChatGPT
- okoliščinah
- praksa
- Clash
- Obračun
- Cloud
- Varnost v oblaku
- Koda
- kompleksna
- Sestavljeno
- Skrb
- konfiguracija
- Posledice
- posledično
- premislek
- bi
- Sodišče
- Sodni vlogi
- nor
- ustvarjajo
- Ustvarjanje
- Cybersecurity
- Dnevi
- odločitve
- opredelitev
- Podrobnosti
- Odkrivanje
- določanje
- Razvojni
- Razvijalci
- težko
- odkril
- do
- Dokumentacija
- sanje
- dinamično
- enostavno
- učinkovito
- konec
- zagotovitev
- popolnoma
- Tudi
- Primer
- obstajajo
- obstoječih
- izkušnje
- izkorišča
- express
- Obraz
- s katerimi se sooča
- ponaredek
- vložki
- iskanje
- Ugotovitve
- opremljanje
- fiksna
- napake
- sledi
- za
- je pokazala,
- iz
- generativno
- Generativna AI
- dobili
- dobro
- Pol
- višina
- pomoč
- pomoč
- v upanju,
- URE
- HTML
- HTTPS
- Ogromno
- človeškega
- Ideja
- if
- in
- narašča
- neverjetno
- Podatki
- inherentno
- Navodila
- Zanimivo
- v
- Predstavljamo
- Izmišljeno
- vprašanje
- IT
- JavaScript
- jpg
- znanje
- znano
- jezik
- odvetnik
- učenje
- kot
- Verjeten
- omejitve
- ll
- nizko tveganje
- stroj
- strojno učenje
- je
- Večina
- Znamka
- več
- Metodologija
- Metode
- morda
- Trenutek
- spremljanje
- mesecev
- več
- Najbolj
- Gibanje
- Krmarjenje
- Nimate
- potrebe
- nikoli
- Novo
- Naslednja
- ni
- zdaj
- of
- on
- ONE
- odprite
- OpenAI
- or
- Da
- organizacije
- ven
- več
- Nadzor
- lastne
- zlasti
- preteklosti
- Načrt
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Predvajaj
- moč
- močan
- praksa
- preprečiti
- prej
- Načelo
- Načela
- Težave
- Procesi
- produktivnost
- programi
- Napredek
- zagotavljajo
- javno
- Python
- Dirka
- hitro
- nedavno
- zmanjšanje
- redno
- povezane
- pomembno
- ostajajo
- Preostalih
- ponavljajoč
- Prijavljeno
- predstavlja
- obvezna
- zahteva
- povzroči
- Pravica
- s
- Shrani
- pravijo,
- Scenarij
- varnost
- glej
- Zdi se,
- resno
- nastavite
- shouldnt
- Enostavno
- preprosto
- SIX
- So
- rešitve
- SOLVE
- nekaj
- Nekaj
- Viri
- porabljen
- Še vedno
- Boj
- sistem
- Naloge
- Skupine
- Tehnologije
- Tehnologija
- Testiranje
- kot
- da
- O
- informacije
- njihove
- Njih
- POTEM
- Teorija
- Tukaj.
- jih
- stvar
- stvari
- tretjih oseb
- ta
- tisti,
- 3
- čas
- do
- orodje
- orodja
- Zaupajte
- zaupa
- dve tretjini
- Konec koncev
- edinstven
- neznan
- posodobljeno
- uporaba
- Rabljeni
- uporabo
- Preverjanje
- preverjanje
- preverjeno
- Ranljivosti
- ranljivost
- dobro znana
- so bili
- kdaj
- ki
- WHO
- bo
- z
- brez
- po vsem svetu
- bi
- pisati
- pisanje
- let
- še
- Vi
- Vaša rutina za
- zefirnet
