世界各地的组织都在竞相将人工智能技术纳入其网络安全计划和工具中。 A 大多数(65%)开发商 使用或计划 在测试工作中使用人工智能 未来三年。 有许多安全应用程序将受益于生成式人工智能,但修复代码是其中之一吗?
对于许多 DevSecOps 团队来说,生成式 AI 代表着清除不断增加的漏洞积压的圣杯。 远超一半 (66%) 的组织表示,他们的积压工作由超过 100,000 个漏洞组成,超过三分之二的静态应用程序安全测试 (SAST) 报告的结果在检测三个月后仍处于开放状态,其中 50 天后 363% 仍保持开放状态。 我们的梦想是,开发人员可以简单地要求 ChatGPT“修复此漏洞”,而之前花费数小时和数天修复漏洞的时间将成为过去。
从理论上讲,这并不是一个完全疯狂的想法。 毕竟,机器学习多年来一直在网络安全工具中有效使用,以实现流程自动化并节省时间——人工智能在应用于简单、重复性任务时非常有益。 但在实践中,将生成式人工智能应用于复杂的代码应用程序存在一些缺陷。 如果没有人工监督和明确的命令,DevSecOps 团队最终可能会制造出比解决的问题更多的问题。
与修复代码相关的生成式人工智能的优点和局限性
人工智能工具可以成为非常强大的工具,可满足简单、低风险的网络安全分析、监控甚至补救需求。 当利害关系变得重大时,人们就会产生担忧。 这归根结底是一个信任问题。
研究人员和开发人员仍在确定新的生成人工智能技术的能力 生成复杂的代码修复。 生成式人工智能依靠现有的可用信息来做出决策。 这对于将代码从一种语言翻译成另一种语言或修复众所周知的缺陷等事情很有帮助。 例如,如果您要求 ChatGPT“用 Python 编写此 JavaScript 代码”,您可能会得到一个好的结果。 使用它来修复云安全配置会很有帮助,因为相关文档是公开可用的并且很容易找到,并且人工智能可以遵循简单的说明。
然而,修复大多数代码漏洞需要针对一组独特的情况和细节采取行动,从而引入更复杂的场景供人工智能导航。 人工智能可能会提供“修复”,但未经验证,它不应该被信任。 根据定义,生成式人工智能无法创造出未知的东西,并且它可能会产生幻觉,从而产生虚假的输出。
在最近的一个例子中,一名律师在使用 ChatGPT 帮助撰写法庭文件后面临严重后果,该文件引用了人工智能工具发明的六个不存在的案件。 如果人工智能幻觉出不存在的方法,然后将这些方法应用于编写代码,就会导致在无法编译的“修复”上浪费时间。 此外,根据 OpenAI 的 GPT-4 白皮书随着时间的推移,新的漏洞利用、越狱和紧急行为将会被发现,并且难以预防。 因此,需要仔细考虑,以确保人工智能安全工具和第三方解决方案经过审查并定期更新,以确保它们不会成为系统的意外后门。
信任还是不信任?
在零信任运动的鼎盛时期,生成式人工智能的快速采用是一个有趣的动态。 大多数网络安全工具都建立在这样的理念之上:组织永远不应该信任,而应该始终验证。 生成式人工智能建立在对已知和未知来源提供的信息固有信任的原则之上。 这种原则上的冲突似乎是组织在寻找安全和生产力之间的适当平衡方面所面临的持续斗争的一个恰当比喻,而此时此刻,这种斗争感觉尤其加剧。
虽然生成式 AI 可能还不是 DevSecOps 团队所希望的圣杯,但它将有助于在减少漏洞积压方面取得渐进进展。 目前,它可以用于进行简单的修复。 对于更复杂的修复,他们需要采用验证到信任的方法,该方法在编写和拥有代码的开发人员的知识指导下利用人工智能的力量。
- :具有
- :是
- :不是
- $UP
- 000
- 100
- 7
- a
- 根据
- 演戏
- 另外
- 采用
- 采用
- 优点
- 后
- AI
- 所有类型
- 已经
- 时刻
- an
- 分析
- 和
- 另一个
- 应用领域
- 应用安全
- 应用领域
- 应用的
- 使用
- 应用
- 保健
- At
- 自动化
- 可使用
- 后门程序
- 当前余额
- BE
- 因为
- 成为
- 很
- 有利
- 得益
- 之间
- 建
- 但是
- by
- CAN
- 能力
- 小心
- 例
- ChatGPT
- 情况
- 引
- 冲
- 清除
- 云端技术
- 云安全
- 码
- 复杂
- 包含
- 关心
- 配置
- 后果
- 结果性的
- 考虑
- 可以
- 法庭
- 法庭文件
- 疯狂的
- 创建信息图
- 创造
- 网络安全
- 一年中的
- 决定
- 定义
- 详情
- 检测
- 确定
- 开发商
- 开发
- 难
- 发现
- do
- 文件
- 梦想
- 动态
- 容易
- 只
- 结束
- 确保
- 完全
- 甚至
- 例子
- 存在
- 现有
- 体验
- 功勋
- 特快
- 面部彩妆
- 面对
- 假
- 申请
- 寻找
- 发现
- 配件
- 固定
- 缺陷
- 遵循
- 针对
- 发现
- 止
- 生成的
- 生成式人工智能
- 得到
- 非常好
- 半
- 高度
- 帮助
- 有帮助
- 希望
- HOURS
- HTML
- HTTPS
- 巨大的
- 人
- 主意
- if
- in
- 增加
- 令人难以置信
- 信息
- 固有
- 说明
- 有趣
- 成
- 介绍
- 发明
- 问题
- IT
- JavaScript的
- JPG
- 知识
- 已知
- 语言
- 律师
- 学习
- 喜欢
- 容易
- 限制
- ll
- 低风险
- 机
- 机器学习
- 制成
- 多数
- 使
- 许多
- 研究方法
- 方法
- 可能
- 时刻
- 监控
- 个月
- 更多
- 最先进的
- 运动
- 导航
- 需求
- 需要
- 决不要
- 全新
- 下页
- 不存在的
- 现在
- of
- on
- 一
- 打开
- OpenAI
- or
- 秩序
- 组织
- 输出
- 超过
- 疏忽
- 己
- 尤其
- 过去
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 功率
- 强大
- 在练习上
- 防止
- 先前
- 原理
- 原则
- 问题
- 过程
- 生产率
- 训练课程
- 进展
- 提供
- 公然
- 蟒蛇
- 种族
- 快
- 最近
- 减少
- 经常
- 有关
- 相应
- 留
- 其余
- 重复的
- 报道
- 代表
- 必须
- 需要
- 导致
- 右
- s
- 保存
- 对工资盗窃
- 脚本
- 保安
- 看到
- 似乎
- 严重
- 集
- 应该
- 简易
- 只是
- SIX
- So
- 解决方案
- 解决
- 一些
- 东西
- 来源
- 花费
- 仍
- 奋斗
- 系统
- 任务
- 队
- 技术
- 专业技术
- 测试
- 比
- 这
- 信息
- 其
- 他们
- 然后
- 理论
- 那里。
- 他们
- 事
- 事
- 第三方
- Free Introduction
- 那些
- 三
- 次
- 至
- 工具
- 工具
- 信任
- 信任
- 三分之二
- 最终
- 独特
- 不明
- 更新
- 使用
- 用过的
- 运用
- 企业验证
- 确认
- 经审查
- 漏洞
- 漏洞
- 知名
- 为
- ,尤其是
- 这
- WHO
- 将
- 也完全不需要
- 全世界
- 将
- 写
- 写作
- 年
- 但
- 完全
- 您一站式解决方案
- 和风网