Connect with us

Cybersikkerhed

Forbedring af kode sikkerhed: Belønninger og risici ved brug af LLM’er til proaktiv afsløring af sårbarheder

mm
Published
Updated

I det dynamiske landskab af cybersecurity, hvor trusler konstant udvikler sig, er det afgørende at være foran potentielle sårbarheder i koden. En måde, der holder løftet, er integrationen af AI og Large Language Models (LLM’er). Ved at udnytte disse teknologier kan man bidrage til tidlig opdægning og afværning af sårbarheder i biblioteker, der ikke er opdaget før, og styrke den overordnede sikkerhed af software-applikationer. Eller som vi gerne siger, “at finde de ukendte ukendte”.

For udviklere har det potentiale til at øge produktiviteten ved at reducere tiden, der bruges på at finde og rette kodefejl, og hjælpe dem med at opnå den meget ønskede “flow tilstand.” Men der er nogle ting at overveje, før en organisation tilføjer LLM’er til sine processer.

At låse op for flow

En fordel ved at tilføje LLM’er er skalerbarhed. AI kan automatisk generere rettelser for mange sårbarheder, reducere baglogen af sårbarheder og enable en mere strømlinet og accelereret proces. Dette er særligt nyttigt for organisationer, der kæmper med en mangfoldighed af sikkerhedsproblemer. Volumen af sårbarheder kan overvælde traditionelle scanning metoder, hvilket fører til forsinkelser i at adresse kritiske problemer. LLM’er giver organisationer mulighed for at omfattende adresse sårbarheder uden at være begrænset af ressourcebegrænsninger. LLM’er kan give en mere systematisk og automatiseret måde at reducere fejl og styrke software-sikkerheden.

Dette fører til en anden fordel ved AI: Effektivitet. Tid er af største betydning, når det kommer til at finde og rette sårbarheder. Automatiseringen af processen med at rette software-sårbarheder hjælper med at minimere vinduet for sårbarhed for dem, der håber at udnytte dem. Denne effektivitet bidrager også til betydelige tids- og ressourcesbesparelser. Dette er særligt vigtigt for organisationer med omfattende kodebasers, hvilket giver dem mulighed for at optimere deres ressourcer og allokerer deres indsats mere strategisk.

Evnen til, at LLM’er kan trænes på en enorm dataset af sikker kode, skaber den tredje fordel: nøjagtigheden af disse genererede rettelser. Den rigtige model trækker på sin viden for at give løsninger, der er i overensstemmelse med etablerede sikkerhedsstandarder, og styrker den overordnede robusthed af softwaren. Dette minimiserer risikoen for at introducere nye sårbarheder under reparationen. MEN disse datasets har også potentialet for at introducere risici.

Navigering af tillid og udfordringer

En af de største ulemper ved at inkorporere AI til at rette software-sårbarheder er tillid. Modeller kan trænes på ondsindet kode og lære mønstre og adfærd, der er forbundet med sikkerhedstrusler. Når de bruges til at generere rettelser, kan modellen trække på sin erhvervede erfaring, og utilsigtet foreslå løsninger, der kan introducere sikkerhedssårbarheder i stedet for at løse dem. Det betyder, at kvaliteten af træningsdataene skal være repræsentative for koden, der skal rettes, OG fri for ondsindet kode.

LLM’er kan også have potentialet for at introducere bias i de rettelser, de genererer, hvilket kan føre til løsninger, der ikke omfatter det fulde spektrum af muligheder. Hvis datasettet, der bruges til træning, ikke er divers, kan modellen udvikle snævre perspektiver og præferencer. Når den får til opgave at generere rettelser for software-sårbarheder, kan den favorisere visse løsninger over andre baseret på mønstrene, der er sat under træningen. Denne bias kan føre til en rettelser-orienteret tilgang, der muligvis negligerer usædvanlige, men effektive løsninger for software-sårbarheder.

Mens LLM’er er gode til at genkende mønstre og generere løsninger baseret på lært mønstre, kan de falde kort, når de konfronteres med unikke eller nytænkende udfordringer, der afviger væsentligt fra deres træningsdata. Nogle gange kan disse modeller endda “hallucinere” og generere falsk information eller forkert kode. Generativ AI og LLM’er kan også være kræsne, når det kommer til prompts, hvilket betyder, at en lille ændring i, hvad du indtaster, kan føre til væsentligt forskellige kodeoutputs. Ondsindede aktører kan også udnytte disse modeller ved at bruge prompt-injektioner eller træningsdata forgiftning til at skabe yderligere sårbarheder eller få adgang til følsom information. Disse problemer kræver ofte en dyb kontekstuel forståelse, intrikate kritiske tænkningsevner og en bevidsthed om den bredere systemarkitektur. Dette understreger vigtigheden af menneskelig ekspertise i at guide og validere outputtet og hvorfor organisationer skal se LLM’er som et værktøj til at supplere menneskelige evner i stedet for at erstatte dem fuldstændigt.

Menneskeligt element forbliver afgørende

Menneskelig oversigt er kritisk i hele software-udviklingslivscyklussen, især når man udnytter avancerede AI-modeller. Mens Generativ AI og LLM’er kan håndtere kedelige opgaver, skal udviklere stadig have en klar forståelse af deres endemål. Udviklere skal kunne analysere kompleksiteten af en sårbarhed, overveje den bredere systems implikationer og anvende domænespecifik viden til at udvikle effektive og tilpassede løsninger. Denne specialiserede ekspertise giver udviklerne mulighed for at tilpasse løsninger, der er i overensstemmelse med branchestandarder, overholdelseskrav og specifikke brugerbehov, faktorer, der måske ikke er fuldt ud fanget af AI-modeller alene. Udviklere skal også udføre omhyggelig validering og verificering af den kode, der er genereret af AI, for at sikre, at den genererede kode opfylder de højeste standarder for sikkerhed og pålidelighed.

Kombinationen af LLM-teknologi og sikkerhedstest præsenterer en lovende vej for at forbedre kode-sikkerheden. Men en balanceret og forsigtig tilgang er afgørende, hvor man anerkender både de potentielle fordele og risici. Ved at kombinere styrkerne fra denne teknologi og menneskelig ekspertise kan udviklere proaktivt identificere og afværge sårbarheder, forbedre software-sikkerheden og maksimere produktiviteten af ingeniørholdene, så de bedre kan finde deres flow tilstand.

Related Topics:
mm

Bruce Snell, Cybersecurity Strategist, Qwiet AI, har mere end 25 års erfaring i informations sikkerhedsbranchen. Hans baggrund omfatter administration, implementering og rådgivning på alle områder af traditionel IT-sikkerhed. I de sidste 10 år er Bruce udvidet til OT/IoT-sikkerhed (med GICSP-certificering), og har arbejdet på projekter, herunder bilpen-testing, olie- og gasrørledninger, autonom køretøjsdata, medicinsk IoT, smarte byer og andre. Bruce har også været en fast taler ved cybersecurity- og IoT-konferencer samt gæsteforelæser på Wharton og Harvard Business School, og co-vært på den prisvindende podcast “Hackable?”.