Acronis SCS og førende akademikere samarbejder om at udvikle en AI-baseret risikovurderingsmodel

Det amerikanske cybersikkerhedsfirma Acronis SCS har samarbejdet med førende akademikere om at forbedre software gennem brug af kunstig intelligens (AI). Samarbejdet har udviklet en AI-baseret risikovurderingsmodel, der kan kvantitativt vurdere softwarekodes sårbarhed. 

Den nye model viste en 41% forbedring af detektion af almindelige sårbarheder og eksponeringer (CVE’er) under dens første analysefase. Følgende tests resulterede i lige så imponerende resultater, og Acronis SCS er klar til at dele modellen, når den er færdig. 

Softwareleverandører og offentlig sektor

En af de bedste aspekter ved denne teknologi er, at den kan bruges af andre softwareleverandører og offentlige organisationer. Gennem dens brug kan softwareforsyningskædens validering forbedres uden at skade innovation eller små virksomheds muligheder, og det er et billigt værktøj for disse organisationer. 

Acronis SCS’ AI-baserede model afhænger af et dybt lærende neuralt netværk, der scannrer både åben kildekode og proprietær kildekode. Den kan give upartiske kvantitative risikovurderinger, som IT-administratoren kan bruge til at træffe præcise beslutninger om udrulning af nye softwarepakker og opdatering af eksisterende. 

Selskabet bruger sprogmodeller til at indlejre kode. En type dyb læring, sprogmodellen kombinerer en indlejringsskikt med et rekursivt neuralt netværk (RNN). Up-sampling-teknikker og klassificeringsalgoritmer som f.eks. boosting, tilfældige skove og neurale netværk bruges til at måle modellen. 

Dr. Joe Barr er Acronis SCS’ seniordirektør for forskning. 

“Vi bruger sprogmodeller til at indlejre kode. Sprogmodellen er en form for dyb læring, der kombinerer en indlejringsskikt med et rekursivt neuralt netværk (RNN),” fortalte Dr. Barr Unite.AI. 

“Input består af funktionspar (funktion, mærke) og output er en sandsynlighed P(y=1 | x), at en funktion er sårbar over for hack (fejl). Fordi positive mærker er sjældne, bruger vi forskellige up-sampling-teknikker og klassificeringsalgoritmer (som f.eks. boosting, tilfældige skove og neurale netværk). Vi måler “godhed” ved ROC/AUC og en percentil-løft (antal “dårlige” i top k percentil, k=1,2,3,4,5).”

Effektiv valideringsproces

En anden god mulighed for denne teknologi er dens evne til at gøre valideringsprocessen langt mere effektiv. 

“Forsyningskædens validering, placeret inde i en valideringsproces, vil hjælpe med at identificere fejl/sårbar kode og vil gøre valideringsprocessen mere effektiv med flere størrelsesordener,” fortsatte han. 

Som med alle AI og software er det afgørende at forstå og adresse eventuelle risici. Da han blev spurgt, om der er nogen risici, der er unikke for åben kildekode (OSS), sagde Dr. Barr, at der både er generiske og specifikke risici. 

“Der er generiske risici og specifikke risici,” sagde han. “Den generiske risiko inkluderer “uskyldige” fejl i koden, der kan udnyttes af en ondsindet aktør. Specifikke risici relaterer til en modstanderaktør (som en statsstøttet agentur), der bevidst introducerer fejl i åben kildekode til at udnyttes på et tidspunkt.”

De første resultater af analysen blev offentliggjort i IEEE under titlen “Kombinatorisk kodeklassificering & sårbarhed.”