Net güvenlik röportajında, Minimus’taki CTO olan John Morello, birçok bağımlılığın hızlı bir şekilde çekildiği AI odaklı kalkınmadaki güvenlik risklerini tartışıyor. Kimsenin tam olarak anlamadığı yazılım yığınlarını güvence altına almanın neden zor olduğunu açıklıyor. Ayrıca AI daha yaygın hale geldikçe gelişimi güvende tutmak için değişmesi gerekenleri paylaşıyor.
AI destekli gelişimin, çeşitli kaynaklardan yüzlerce bağımlılık kazandığını görüyoruz. Sizin açınızdan, bunun pratikte yarattığı en acil güvenlik zorluğu nedir?
Birçok yönden, bu gerçekten yeni bir sorun değil. Son on yılda, geliştirme uygulamaları giderek daha fazla genişleyen bir dizi soyut uygulama çerçevesine bağımlı hale gelmiştir. Birçok durumda, yalnızca tek bir paket yüklemek istemek, düzinelerce 2. ve 3. sipariş bağımlılığının kurulmasına neden olabilir ve geliştiricilerin her birini ayrıntılı olarak anlamaları uygun değildir. Bu nedenle, geliştiriciler genellikle sunduğu riski sınırlı olarak anlayarak uygulama işlevselliğini desteklemek için büyük bir yazılım yığını çalıştırırlar.
Burada AI’nın kötüleştiği şey, hız beklentisi ve neyin konuşlandırıldığını anlamak için zamanın karşılık gelen azalmasıdır. Geliştiriciler zaten kendi başlarına anladıkları yığını anlamak için mücadele ettiyse, bir AI’nın kullandığı bir uygulamanın bir parçası olarak çektiği yığını ne kadar olası olmadığını hayal edin. Anlamadığınızı güvence altına almak gerçekçi bir şekilde imkansızdır ve AI’nın geliştirme konusundaki kullanımı ile ilgili en büyük endişem, gerçekte anladığımız şeyin belirli bir uygulamayı yürütmeye dahil olan daha büyük bağımlılıklara oranını azaltmaktır.
AI-entegre geliştirme iş akışlarına ayak uydurmak için açık kaynaklı proje yönetişimi veya meta veri standartlarında ne gibi değişiklikler olması gerektiğini düşünüyorsunuz?
AI, güvenlik açısından doğal olarak kötü veya doğal olarak iyi değildir. Hem iyi hem de kötü davranışları hızlandırabilen ve büyütebilen başka bir araçtır. İyi tarafta, modeller uygulama bileşenlerinin güvenlik açığı durumunu ve genel güvenilirliğini değerlendirmeyi öğrenebilir ve önerdikleri koda öğrenmeyi faktöre, AI’nın sonuçta ortaya çıkan çıktının güvenliği üzerinde olumlu bir etkisi olabilir. Açık kaynaklı projeler, potansiyel güvenlik açıklarının bulunmasına ve hatta PRS’yi bunlara yönelik olarak göndermeye yardımcı olmak için AI’dan yararlanabilir, ancak sonuçların projenin güvenliğini gerçekten iyileştirmesini sağlamak için hala önemli insan gözetimi olması gerekir. Birçok açık kaynaklı proje hala bu güvenlik bilgisini katkıda bulunanlar içinde elde etmek için mücadele etmekte ve bazen güvenliği özellik veya planlama avantajları lehine depricatize edebilir – AI bu karar vermelerine doğrudan yardımcı olamaz, ancak umarım karar vermeyi daha fazla veri yönlendirmek için kullanılabilir.
Mevcut APPSEC araçlarının yapım aşaması sırasında AI tarafından oluşturulan kod tarafından getirilen güvenlik açıklarını kaldırmak için donanımlı olduğunu düşünüyor musunuz? Neden veya neden olmasın?
İnsanlar tarafından yazılan kodda bile güvenlik açıklarını otomatik olarak bulabilmeye ve düzeltebilmeye büyük bir güvenim yok. Kuşkusuz, ortak hatalar bulmak için otomatik linterler ve benzeri araçların kullanılmasının büyük bir faydası vardır ve bu da AI tarafından hızlandırılabilir. Bununla birlikte, en kritik güvenlik açıklarının birçoğu, bir uygulamanın genel davranışını güçlü bir şekilde anlamadan kolayca görülmeyen ve genellikle tam olarak sömürülecek diğer çevresel yönlerle birleştirilmesi gereken oldukça derin hatalardır. Bu tür hatalar, yapay zekanın bugün bulması ve düzeltilmesi çok daha zordur, ancak modeller bunun için kasıtlı olarak eğitilebilmesi kesinlikle mümkündür.
AI sistemlerinin, kod olarak altyapı, yapılandırma dosyaları ve tüm açık kaynak bileşenleri içeren uygulama mantığını üretebileceği bir dünyada “güven sınırları” hakkında nasıl düşünüyorsunuz? Güvenli bir şekilde savunma ile birleştirilmiş bir yığın size nasıl görünüyor?
Bir insan uzmanı tarafından monte edilen aynı yığıntan çok farklı görünmemelidir. Bu eserlerin nasıl yaratıldığına bakılmaksızın, güvenlik en iyi uygulamaları aynıdır. Yapay zeka ile ilgili en büyük endişem, gerçekten zor şeylerin çok kolay görünmesidir. Bu, tekrarlayan sıkıcı görevleri ortadan kaldırmaya yardımcı olduğunda çok değerli olabilir, ancak kimsenin gerçekten anlamadığı dağıtımlarla sonuçlandığında riskli olabilir.
Bir yapay zeka, sofistike bir şey inşa etmek, dağıtmak ve çalıştırmak için gereken tüm eserleri oluşturmak için güveniyorsanız, bu kadar iyi yapılıp yapılmadığını ve hangi riskleri hafiflettiğini bilmek çok zor olacaktır. Birçok yönden, bu, kullanıcıların dış kaynaklardan aldıkları şeye kör bir güven duydukları uzun süredir var olan klasik “kıvrımlı ve borudan bash” türüne çok benziyor. Çoğu zaman bu iyi çalışabilir ama bazen değil.
Şu anda bir CISO veya Devsecops liderliğini tavsiye etmeniz gerekiyorsa, AI odaklı geliştirme ortamlarını güvence altına almak için bugün yapmaya başlamaları gereken bir şey ve durdurmaları gereken bir şey nedir?
Tavsiye edeceğim en önemli şey, AI’yi bir hızlandırıcı olarak kullanmak ve bir aracı etkinleştirmek, ancak koltuk değneği veya insan bilgisi ve karar verme yerine geçme olarak değil. AI hızlı bir şekilde etkileyici sonuçlar yaratabilir, ancak mutlaka güvenliğe öncelik vermez ve aslında onu bozan birçok seçenek yapabilir. Yaptığı önerileri gerçekten anlayan ve doğru dengeyi sağlamak için gerektiği gibi uyarlayabilecek ve yeniden tanıtabilecek iyi mimarilere ve kontrollere ve insan uzmanlarına sahip olun.