Üretken Yapay Zekaya Kodunuzu Düzeltme Konusunda Güvenilir Olabilir mi?

Dünya çapındaki kuruluşlar yapay zeka teknolojilerini siber güvenlik programlarına ve araçlarına uyarlama yarışında. A geliştiricilerin çoğunluğu (%65) kullanın veya planlayın test çalışmalarında yapay zekayı kullanma önümüzdeki üç yıl içinde. Üretken yapay zekadan yararlanacak pek çok güvenlik uygulaması var, ancak kodu düzeltmek bunlardan biri mi?

Birçok DevSecOps ekibi için üretken yapay zeka, artan güvenlik açığı birikimlerini temizlemede kutsal kâseyi temsil ediyor. Yarıdan fazlası (%66) Kuruluşların oranı, birikmiş iş listelerinin 100,000'den fazla güvenlik açığından oluştuğunu ve statik uygulama güvenliği testinin (SAST) raporladığı bulguların üçte ikisinden fazlasının tespitten üç ay sonra açık kaldığını söylüyor. 50 gün sonra %363'si açık kalıyor. Rüya, bir geliştiricinin ChatGPT'den "bu güvenlik açığını düzeltmesini" isteyebilmesi ve güvenlik açıklarını düzeltmek için daha önce harcanan saatler ve günlerin geçmişte kalmasıdır.

Teorik olarak tamamen çılgın bir fikir değil. Sonuçta makine öğrenimi, süreçleri otomatikleştirmek ve zamandan tasarruf etmek için siber güvenlik araçlarında yıllardır etkili bir şekilde kullanılıyor. Yapay zeka, basit, tekrarlanan görevlere uygulandığında son derece faydalıdır. Ancak üretken yapay zekanın karmaşık kod uygulamalarına uygulanmasının pratikte bazı kusurları vardır. DevSecOps ekipleri, insan gözetimi ve açık komutlar olmadan çözdüklerinden daha fazla sorun yaratabilir.

Üretken Yapay Zekanın Avantajları ve Kodu Düzeltmeyle İlgili Sınırlamalar

Yapay zeka araçları, basit, düşük riskli siber güvenlik analizi, izleme ve hatta iyileştirme ihtiyaçları için inanılmaz derecede güçlü araçlar olabilir. Riskler önemli hale geldiğinde endişe ortaya çıkar. Bu sonuçta bir güven meselesidir.

Araştırmacılar ve geliştiriciler hâlâ yeni üretken yapay zeka teknolojisinin yeteneklerini belirlemeye çalışıyor. karmaşık kod düzeltmeleri üretmek. Üretken yapay zeka, karar vermek için mevcut bilgilere dayanır. Bu, kodu bir dilden diğerine çevirmek veya bilinen kusurları düzeltmek gibi konularda yararlı olabilir. Örneğin, ChatGPT'den "bu JavaScript kodunu Python'da yazmasını" isterseniz, muhtemelen iyi bir sonuç alırsınız. Bir bulut güvenlik yapılandırmasını düzeltmek için bunu kullanmak faydalı olacaktır çünkü bunu yapmak için gerekli belgeler herkese açık ve kolayca bulunabilir ve yapay zeka basit talimatları izleyebilir.

Bununla birlikte, çoğu kod güvenlik açığının düzeltilmesi, benzersiz bir dizi koşul ve ayrıntıya göre hareket etmeyi ve yapay zekanın gezinmesi için daha karmaşık bir senaryo sunmayı gerektirir. Yapay zeka bir "düzeltme" sağlayabilir ancak doğrulama olmadan ona güvenilmemelidir. Üretken yapay zeka, tanımı gereği halihazırda bilinmeyen bir şey yaratamaz ve sahte çıktılarla sonuçlanan halüsinasyonlar yaşayabilir.

Yakın zamanda yaşanan bir örnekte, bir avukat, AI aracının icat ettiği, var olmayan altı davaya atıfta bulunan mahkeme dosyalarının yazılmasına yardımcı olmak için ChatGPT'yi kullandıktan sonra ciddi sonuçlarla karşı karşıya kaldı. Yapay zeka, var olmayan yöntemleri halüsinasyona uğratıp daha sonra bu yöntemleri kod yazmaya uygularsa, bu, derlenemeyen bir "düzeltme" üzerinde zaman kaybına neden olur. Ayrıca OpenAI'ye göre GPT-4 teknik incelemesi, yeni istismarlar, jailbreak'ler ve ortaya çıkan davranışlar zamanla keşfedilecek ve önlenmesi zor olacaktır. Bu nedenle, yapay zeka güvenlik araçlarının ve üçüncü taraf çözümlerinin sistemde istenmeyen arka kapılar haline gelmemelerini sağlamak amacıyla incelendiğinden ve düzenli olarak güncellendiğinden emin olmak için dikkatli bir değerlendirme yapılması gerekiyor.

Güvenmek mi Güvenmemek mi?

Üretken yapay zekanın hızla benimsenmesinin sıfır güven hareketinin zirvesinde gerçekleştiğini görmek ilginç bir dinamik. Siber güvenlik araçlarının çoğunluğu, kuruluşların asla güvenmemesi, her zaman doğrulaması gerektiği fikri üzerine inşa edilmiştir. Üretken yapay zeka, bilinen ve bilinmeyen kaynaklar tarafından kendisine sunulan bilgilere duyulan doğal güven ilkesi üzerine inşa edilmiştir. İlkelerdeki bu çatışma, kuruluşların güvenlik ve üretkenlik arasında doğru dengeyi bulma konusunda karşı karşıya kaldıkları ısrarlı mücadeleye uygun bir metafor gibi görünüyor ve bu durum şu sıralar özellikle daha da kötüleşiyor.

Üretken yapay zeka, DevSecOps ekiplerinin umduğu kutsal kâse henüz olmasa da, güvenlik açığı birikimlerinin azaltılmasında artan ilerleme kaydedilmesine yardımcı olacaktır. Şimdilik basit düzeltmeler yapmak için uygulanabilir. Daha karmaşık düzeltmeler için, kodu yazan ve sahibi olan geliştiricilerin bilgisinin rehberliğinde yapay zekanın gücünden yararlanan, güvenerek doğrulama yöntemini benimsemeleri gerekecek.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
• Kaynak: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-