Acronis SCS și Leading Academics se asociază pentru a dezvolta un model de evaluare a riscurilor bazat pe inteligență artificială

Companie americană de protecție cibernetică Acronis SCS a colaborat cu cadre universitare de top pentru a îmbunătăți software-ul prin utilizarea inteligenței artificiale (AI). Colaborarea a dezvoltat un model de evaluare a riscurilor bazat pe inteligență artificială, capabil să evalueze cantitativ vulnerabilitatea codului software. 

Noul model a demonstrat o îmbunătățire cu 41% la detectarea vulnerabilităților și expunerilor comune (CVE) în prima etapă de analiză. Următoarele teste au avut rezultate la fel de impresionante, iar Acronis SCS este setat să partajeze modelul după finalizarea acestuia. 

Furnizori de software și sectorul public

Unul dintre cele mai mari aspecte ale acestei tehnologii este că poate fi utilizată de alți furnizori de software și organizații din sectorul public. Prin utilizarea sa, validarea lanțului de aprovizionare cu software poate fi îmbunătățită fără a afecta inovația sau oportunitatea de afaceri mici și este un instrument accesibil pentru aceste organizații. 

Modelul bazat pe inteligență artificială al Acronis SCS se bazează pe o rețea neuronală de învățare profundă care scanează atât codul sursă open-source, cât și codul sursă proprietar. Poate oferi nuclee de risc cantitative imparțiale pe care administratorii IT le pot utiliza apoi pentru a lua decizii precise care implică implementarea de noi pachete software și actualizarea celor existente. 

Compania folosește modelul lingvistic pentru a încorpora codul. Un tip de învățare profundă, modelul lingvistic combină un strat de încorporare cu o rețea neuronală recurentă (RNN). Tehnici de eșantionare și algoritmi de clasificare, cum ar fi boosting, păduri aleatorii și rețele neuronale sunt utilizate pentru a măsura modelul. 

Dr. Joe Barr este directorul principal de cercetare al Acronis SCS. 

„Folosim modelul de limbaj pentru a încorpora codul. Modelul lingvistic este o formă de învățare profundă care combină un strat de încorporare cu o rețea neuronală recurentă (RNN)”, a spus dr. Barr pentru Unite.AI. 

„Intrarea constă din perechi de funcții (funcție, etichetă) și rezultatul este o probabilitate P(y=1 | x) ca o funcție să fie vulnerabilă la hack (buggy). Deoarece etichetele pozitive sunt rare, folosim diverse tehnici de eșantionare și algoritmi de clasificare (cum ar fi stimularea, pădurile aleatorii și rețelele neuronale). Măsurăm „bunătatea” prin ROC/AUC și o creștere percentilă (numărul de „rău” în k percentila de sus, k=1,2,3,4,5).”

Proces de validare eficient

O altă mare oportunitate pentru această tehnologie este capacitatea sa de a face procesul de validare mult mai eficient. 

„Validarea lanțului de aprovizionare, plasată în cadrul unui proces de validare, va ajuta la identificarea codului cu erori/vulnerabile și va eficientiza procesul de validare cu câteva ordine de mărime”, a continuat el. 

Ca și în cazul tuturor AI și software-ului, este esențial să înțelegeți și să abordați orice riscuri potențiale. Întrebat dacă există riscuri unice pentru software-ul cu sursă deschisă (OSS), dr. Barr a spus că există atât riscuri generice, cât și specifice. 

„Există riscuri generice și riscuri specifice”, a spus el. „Riscul generic include erori „nevinovate” în cod care pot fi exploatate de un actor nefast. Riscurile specifice se referă la un actor advers (cum ar fi o agenție sponsorizată de stat) care introduce în mod deliberat erori în sursa deschisă pentru a fi exploatate la un moment dat.”

Rezultatele inițiale ale analizei au fost publicate în IEEE intitulat "Clasificarea codurilor combinatorii și vulnerabilitatea. "