Dünya çapındaki kuruluşlar, yapay zeka teknolojilerini siber güvenlik programlarına ve araçlarına uyarlama yarışında. Geliştiricilerin çoğunluğu (%65) yapay zekayı önümüzdeki üç yıl içinde test çalışmalarında kullanıyor veya kullanmayı planlıyor. Üretken yapay zekadan yararlanacak birçok güvenlik uygulaması var, ancak kodu düzeltmek bunlardan biri mi?
Birçok DevSecOps ekibi için üretken yapay zeka, artan güvenlik açığı birikme listelerini temizlemek için kutsal kâseyi temsil eder. Kuruluşların yarısından fazlası (%66), birikmiş işlerinin 100.000’den fazla güvenlik açığından oluştuğunu ve statik uygulama güvenlik testinin (SAST) üçte ikisinden fazlasının tespit edildikten sonra üç ay açık kaldığını ve %50’sinin 363 gün sonra açık kaldığını söylüyor . Hayal, bir geliştiricinin ChatGPT’den “bu güvenlik açığını düzeltmesini” isteyebilmesi ve daha önce güvenlik açıklarını düzeltmek için harcanan saatler ve günlerin geçmişte kalmasıdır.
Teorik olarak tamamen çılgın bir fikir değil. Ne de olsa makine öğrenimi, süreçleri otomatikleştirmek ve zamandan tasarruf etmek için siber güvenlik araçlarında yıllardır etkili bir şekilde kullanılıyor — AI, basit, tekrarlayan görevlere uygulandığında son derece faydalıdır. Ancak üretken yapay zekayı karmaşık kod uygulamalarına uygulamanın pratikte bazı kusurları vardır. İnsan gözetimi ve açık komut olmadan, DevSecOps ekipleri çözdüklerinden daha fazla sorun yaratabilir.
Üretici Yapay Zeka Avantajları ve Sabitleme Koduna İlişkin Sınırlamalar
AI araçları, basit, düşük riskli siber güvenlik analizi, izleme ve hatta düzeltme ihtiyaçları için inanılmaz derecede güçlü araçlar olabilir. Endişe, çıkarlar önemli hale geldiğinde ortaya çıkar. Bu nihayetinde bir güven sorunudur.
Araştırmacılar ve geliştiriciler, karmaşık kod düzeltmeleri üretmek için yeni üretken yapay zeka teknolojisinin yeteneklerini belirlemeye devam ediyor. Üretken yapay zeka, karar vermek için mevcut, mevcut bilgilere güvenir. Bu, kodu bir dilden diğerine çevirmek veya iyi bilinen kusurları düzeltmek gibi şeyler için yararlı olabilir. Örneğin, ChatGPT’den “bu JavaScript kodunu Python’da yazmasını” isterseniz, muhtemelen iyi bir sonuç alırsınız. Bunu bir bulut güvenlik yapılandırmasını düzeltmek için kullanmak yararlı olacaktır çünkü bunu yapmak için ilgili belgeler herkese açıktır ve kolayca bulunabilir ve yapay zeka basit talimatları izleyebilir.
Bununla birlikte, kod güvenlik açıklarının çoğunu düzeltmek, yapay zekanın gezinmesi için daha karmaşık bir senaryo sunarak benzersiz bir dizi koşul ve ayrıntıya göre hareket etmeyi gerektirir. Yapay zeka bir “düzeltme” sağlayabilir, ancak doğrulama yapılmadan ona güvenilmemelidir. Üretken yapay zeka, tanımı gereği, halihazırda bilinmeyen bir şey yaratamaz ve sahte çıktılarla sonuçlanan halüsinasyonlar yaşayabilir.
Yakın tarihli bir örnekte, bir avukat, AI aracının icat ettiği var olmayan altı davaya atıfta bulunan mahkeme dosyalarını yazmaya yardımcı olması için ChatGPT’yi kullandıktan sonra ciddi sonuçlarla karşı karşıya kalıyor. AI, var olmayan yöntemleri halüsinasyona uğratır ve ardından bu yöntemleri kod yazmak için uygularsa, derlenemeyen bir “düzeltme” için boşa zaman harcanmasına neden olur. Ek olarak, OpenAI’nin GPT-4 teknik incelemesine göre yeni istismarlar, jailbreak’ler ve ortaya çıkan davranışlar zamanla keşfedilecek ve önlenmesi zor olacaktır. Bu nedenle, yapay zeka güvenlik araçlarının ve üçüncü taraf çözümlerinin sisteme istenmeyen arka kapılar haline gelmemelerini sağlamak için incelenip düzenli olarak güncellenmelerini sağlamak için dikkatli değerlendirme yapılması gerekir.
Güvenmek mi Güvenmemek mi?
Üretken yapay zekanın hızla benimsenmesinin sıfır güven hareketinin zirvesinde gerçekleştiğini görmek ilginç bir dinamik. Siber güvenlik araçlarının çoğu, kuruluşların asla güvenmemesi, her zaman doğrulaması gerektiği fikri üzerine kuruludur. Üretken yapay zeka, bilinen ve bilinmeyen kaynaklar tarafından kendisine sunulan bilgilere doğal güven ilkesi üzerine inşa edilmiştir. İlkelerdeki bu çatışma, kuruluşların güvenlik ve üretkenlik arasında doğru dengeyi bulma konusunda karşı karşıya kaldıkları ve şu anda özellikle şiddetlenen ısrarlı mücadele için uygun bir metafor gibi görünüyor.
Üretken yapay zeka henüz DevSecOps ekiplerinin umduğu kutsal kase olmayabilir, ancak güvenlik açığı birikmelerini azaltmada kademeli ilerleme kaydetmeye yardımcı olacaktır. Şimdilik basit düzeltmeler yapmak için uygulanabilir. Daha karmaşık düzeltmeler için, kodu yazan ve sahibi olan geliştiricilerin bilgilerinin rehberliğinde yapay zekanın gücünden yararlanan bir güven için doğrula metodolojisini benimsemeleri gerekecek.