AI sáng tạo có thể được tin cậy để sửa mã của bạn không?

Các tổ chức trên toàn thế giới đang chạy đua để áp dụng công nghệ AI vào các chương trình và công cụ an ninh mạng của họ. MỘT phần lớn (65%) nhà phát triển sử dụng hoặc lên kế hoạch sử dụng AI trong các nỗ lực thử nghiệm trong ba năm tới. Có nhiều ứng dụng bảo mật sẽ được hưởng lợi từ AI tổng quát, nhưng việc sửa mã có phải là một trong số đó không?

Đối với nhiều nhóm DevSecOps, AI tổng quát đại diện cho chén thánh để xóa các tồn đọng lỗ hổng ngày càng tăng của họ. Hơn một nửa (66%) của các tổ chức cho biết hồ sơ tồn đọng của họ bao gồm hơn 100,000 lỗ hổng và hơn hai phần ba kết quả kiểm tra bảo mật ứng dụng tĩnh (SAST) được báo cáo vẫn còn mở ba tháng sau khi phát hiện, với 50% còn lại mở sau 363 ngày. Ước mơ là một nhà phát triển có thể chỉ cần yêu cầu ChatGPT “khắc phục lỗ hổng này” và hàng giờ và ngày dành cho việc khắc phục lỗ hổng trước đó sẽ chỉ còn là dĩ vãng.

Về lý thuyết, đó không phải là một ý tưởng hoàn toàn điên rồ. Xét cho cùng, học máy đã được sử dụng hiệu quả trong các công cụ an ninh mạng trong nhiều năm để tự động hóa các quy trình và tiết kiệm thời gian — AI cực kỳ có lợi khi được áp dụng cho các tác vụ đơn giản, lặp đi lặp lại. Nhưng trên thực tế, việc áp dụng AI tổng quát cho các ứng dụng mã phức tạp có một số sai sót. Nếu không có sự giám sát của con người và mệnh lệnh rõ ràng, các nhóm DevSecOps cuối cùng có thể tạo ra nhiều vấn đề hơn mức họ giải quyết.

AI sáng tạo Ưu điểm và hạn chế liên quan đến sửa mã

Các công cụ AI có thể là những công cụ vô cùng mạnh mẽ để phân tích, giám sát hoặc thậm chí là các nhu cầu khắc phục hậu quả an ninh mạng đơn giản, ít rủi ro. Mối quan tâm phát sinh khi các cổ phần trở thành hậu quả. Đây cuối cùng là một vấn đề của niềm tin.

Các nhà nghiên cứu và nhà phát triển vẫn đang xác định khả năng của công nghệ AI thế hệ mới để sản xuất các bản sửa lỗi mã phức tạp. AI sáng tạo dựa trên thông tin hiện có, sẵn có để đưa ra quyết định. Điều này có thể hữu ích cho những việc như dịch mã từ ngôn ngữ này sang ngôn ngữ khác hoặc sửa các lỗi nổi tiếng. Ví dụ: nếu bạn yêu cầu ChatGPT “viết mã JavaScript này bằng Python”, bạn có thể nhận được kết quả tốt. Sử dụng nó để sửa cấu hình bảo mật đám mây sẽ hữu ích vì tài liệu liên quan để làm như vậy được cung cấp công khai và dễ dàng tìm thấy, đồng thời AI có thể làm theo các hướng dẫn đơn giản.

Tuy nhiên, việc khắc phục hầu hết các lỗ hổng mã yêu cầu hành động trên một tập hợp các tình huống và chi tiết duy nhất, đưa ra một kịch bản phức tạp hơn để AI điều hướng. AI có thể cung cấp một "bản sửa lỗi" nhưng không được xác minh, nó không đáng tin cậy. Theo định nghĩa, AI sáng tạo không thể tạo ra thứ gì đó chưa được biết đến và nó có thể gặp ảo giác dẫn đến kết quả đầu ra giả.

Trong một ví dụ gần đây, một luật sư đang phải đối mặt với hậu quả nghiêm trọng sau khi sử dụng ChatGPT để giúp viết hồ sơ tòa án trích dẫn sáu trường hợp không tồn tại mà công cụ AI đã phát minh ra. Nếu AI ảo tưởng về các phương pháp không tồn tại và sau đó áp dụng các phương pháp đó để viết mã, điều đó sẽ dẫn đến lãng phí thời gian cho một “bản sửa lỗi” không thể biên dịch được. Ngoài ra, theo OpenAI's Sách trắng GPT-4, các hành vi khai thác, bẻ khóa và hành vi mới nổi sẽ được phát hiện theo thời gian và rất khó để ngăn chặn. Vì vậy, cần phải xem xét cẩn thận để đảm bảo các công cụ bảo mật AI và giải pháp của bên thứ ba được kiểm tra và cập nhật thường xuyên để đảm bảo chúng không trở thành cửa hậu ngoài ý muốn vào hệ thống.

Tin tưởng hay không tin tưởng?

Thật là một động lực thú vị khi thấy việc áp dụng nhanh chóng AI thế hệ mới diễn ra ở đỉnh cao của phong trào không tin cậy. Phần lớn các công cụ an ninh mạng được xây dựng dựa trên ý tưởng rằng các tổ chức không bao giờ nên tin tưởng, hãy luôn xác minh. AI sáng tạo được xây dựng trên nguyên tắc tin tưởng vốn có vào thông tin được cung cấp bởi các nguồn đã biết và chưa biết. Xung đột về nguyên tắc này có vẻ giống như một phép ẩn dụ phù hợp cho cuộc đấu tranh dai dẳng mà các tổ chức phải đối mặt trong việc tìm kiếm sự cân bằng phù hợp giữa bảo mật và năng suất, điều này đặc biệt trở nên trầm trọng hơn vào thời điểm này.

Mặc dù AI tổng quát có thể chưa phải là chén thánh mà các nhóm DevSecOps mong đợi, nhưng nó sẽ giúp đạt được tiến bộ gia tăng trong việc giảm tồn đọng lỗ hổng bảo mật. Hiện tại, nó có thể được áp dụng để thực hiện các bản sửa lỗi đơn giản. Đối với các bản sửa lỗi phức tạp hơn, họ sẽ cần áp dụng phương pháp xác minh để tin cậy khai thác sức mạnh của AI dựa trên kiến ​​thức của các nhà phát triển đã viết và sở hữu mã.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/application-security/can-generative-ai-be-trusted-to-fix-your-code-