Az AI által generált kódok kiberbiztonsági kockázatai
A legújabb fejlesztések javították a nagy nyelvi modellek (LLM) és más mesterséges intelligencia rendszerek kódgenerálási képességét. Bár ez ígéretes a szoftverfejlesztés területén, ezek a modellek közvetlen és közvetett kiberbiztonsági kockázatokat is jelenthetnek. A Georgetown Egyetem Biztonsági és Fejlődő Technológiák Központ (CSET) tanulmányában az AI kódgeneráló modellekkel kapcsolatos kockázatok három nagy kategóriáját azonosították:
- a nem biztonságos kódot generáló modellek,
- maguk a modellek, amelyek támadhatóak és manipulálhatóak,
- a későbbi kiberbiztonsági hatások, például a jövőbeli AI-rendszerek képzésében jelentkező visszacsatolási hurkok.
A kutatások kimutatták, hogy kísérleti körülmények között a mesterséges intelligencia kódgeneráló modellek gyakran nem biztonságos kódot adnak. Az AI által generált kód biztonságának értékelése azonban rendkívül összetett folyamat, amely számos egymástól függő változót tartalmaz. Az AI által írt kód kockázatának további feltárása érdekében öt LLM által generált kódot értékeltek a kutatók. Mindegyik modell ugyanazt az utasításkészletet kapta meg, amelyet úgy terveztek, hogy teszteljék azokat a valószínű forgatókönyveket, amelyekben hibás vagy nem biztonságos kód keletkezhet. Az eredmények azt mutatják, hogy az öt különböző modell által előállított kódrészletek közel fele tartalmaz olyan hibákat, amelyek gyakran hatásosak, és potenciálisan rosszindulatú kihasználáshoz vezethetnek.
Az AI-generált kóddal kapcsolatos potenciális biztonsági kockázatok mérséklésében számos szereplőnek részt kell vennie. Az AI által generált kódok kimeneteinek biztonságának biztosítása nem kizárólag az egyes felhasználókra hárulhat, hanem az AI fejlesztőire, a kódot előállító szervezetekre és azokra is, akik a biztonságot általában véve javíthatják, például a politikai döntéshozókra vagy az iparág vezetőire. Az olyan meglévő útmutatók, mint a biztonságos szoftverfejlesztési gyakorlatok és a NIST kiberbiztonsági keretrendszer (CSF) továbbra is alapvető fontosságúak, így minden kódot értékelni kell biztonsági szempontból, mielőtt az produktív környezetbe kerül. Más kiberbiztonsági iránymutatások, például a secure-by-design elvei kiterjeszthetők a kódgenerálási modellekre és más AI rendszerekre, amelyek hatással vannak a szoftverellátási lánc biztonságára.
