0
0
Organizações em todo o mundo estão em uma corrida para adotar tecnologias de IA em seus programas e ferramentas de segurança cibernética. A maioria (65%) dos desenvolvedores usa ou planeja usar IA em esforços de teste nos próximos três anos. Existem muitos aplicativos de segurança que se beneficiarão da IA generativa, mas corrigir código é um deles?
Para muitas equipes de DevSecOps, a IA generativa representa o Santo Graal para limpar suas crescentes listas de pendências de vulnerabilidade. Bem mais da metade (66%) das organizações dizem que suas listas de pendências são compostas por mais de 100.000 vulnerabilidades, e mais de dois terços dos testes de segurança de aplicativos estáticos (SAST) relatados permanecem abertos três meses após a detecção, com 50% permanecendo abertos após 363 dias. O sonho é que um desenvolvedor pudesse simplesmente pedir ao ChatGPT para “corrigir essa vulnerabilidade”, e as horas e dias gastos anteriormente remediando vulnerabilidades seriam coisa do passado.
Não é uma ideia totalmente maluca, em tese. Afinal, o aprendizado de máquina tem sido usado de forma eficaz em ferramentas de segurança cibernética há anos para automatizar processos e economizar tempo — a IA é extremamente benéfica quando aplicada a tarefas simples e repetitivas. Mas aplicar IA generativa a aplicativos de código complexos tem algumas falhas, na prática. Sem supervisão humana e comando expresso, as equipes de DevSecOps podem acabar criando mais problemas do que resolvem.
Vantagens e limitações da IA generativa relacionadas à fixação de código
As ferramentas de IA podem ser ferramentas incrivelmente poderosas para análise, monitoramento ou até mesmo necessidades corretivas de segurança cibernética simples e de baixo risco. A preocupação surge quando as apostas se tornam consequentes. Trata-se, em última análise, de uma questão de confiança.
Pesquisadores e desenvolvedores ainda estão determinando os recursos da nova tecnologia de IA generativa para produzir correções de código complexas. A IA generativa depende de informações existentes e disponíveis para tomar decisões. Isso pode ser útil para coisas como traduzir código de um idioma para outro ou corrigir falhas conhecidas. Por exemplo, se você pedir ao ChatGPT para “escrever este código JavaScript em Python”, é provável que você obtenha um bom resultado. Usá-lo para corrigir uma configuração de segurança na nuvem seria útil porque a documentação relevante para fazê-lo está disponível publicamente e é facilmente encontrada, e a IA pode seguir as instruções simples.
No entanto, corrigir a maioria das vulnerabilidades de código requer agir em um conjunto único de circunstâncias e detalhes, introduzindo um cenário mais complexo para a IA navegar. A IA pode fornecer uma “correção”, mas sem verificação, ela não deve ser confiável. A IA generativa, por definição, não pode criar algo que ainda não é conhecido, e pode experimentar alucinações que resultam em saídas falsas.
Em um exemplo recente, um advogado está enfrentando sérias consequências depois de usar o ChatGPT para ajudar a escrever documentos judiciais que citavam seis casos inexistentes que a ferramenta de IA inventou. Se a IA alucinasse métodos que não existem e, em seguida, aplicasse esses métodos para escrever código, isso resultaria em perda de tempo em uma “correção” que não pode ser compilada. Além disso, de acordo com o whitepaper GPT-4 da OpenAI, novas explorações, jailbreaks e comportamentos emergentes serão descobertos ao longo do tempo e serão difíceis de evitar. Portanto, é necessária uma consideração cuidadosa para garantir que as ferramentas de segurança de IA e as soluções de terceiros sejam verificadas e atualizadas regularmente para garantir que não se tornem backdoors não intencionais no sistema.
Confiar ou não confiar?
É uma dinâmica interessante ver a rápida adoção de IA generativa acontecer no auge do movimento de confiança zero. A maioria das ferramentas de segurança cibernética é construída com base na ideia de que as organizações nunca devem confiar, sempre verificar. A IA generativa é construída sobre o princípio da confiança inerente nas informações disponibilizadas a ela por fontes conhecidas e desconhecidas. Este choque de princípios parece uma metáfora apropriada para a luta persistente que as organizações enfrentam para encontrar o equilíbrio certo entre segurança e produtividade, que parece particularmente exacerbada neste momento.
Embora a IA generativa ainda não seja o Santo Graal que as equipes de DevSecOps esperavam, ela ajudará a fazer um progresso incremental na redução de pendências de vulnerabilidade. Por enquanto, ele pode ser aplicado para fazer correções simples. Para correções mais complexas, eles precisarão adotar uma metodologia de verificação para confiança que aproveite o poder da IA guiada pelo conhecimento dos desenvolvedores que escreveram e possuem o código.
FONTE: DARK READING