OpenAI nis një nismë të udhëhequr nga AI për të korrigjuar dobësitë në softuerët me burim të hapur
OpenAI ka lançuar një program me firmën e sigurisë kibernetike Trail of Bits për të përdorur inteligjencën artificiale për të gjetur dhe rregulluar dobësitë në softuerët me burim të hapur që përdoren gjerësisht, pasi ndërmarrjet përballen me rreziqe në rritje nga të metat e fshehura thellë në zinxhirët e tyre të furnizimit me softuer.
Iniciativa, e quajtur Patch the Planet, përdor kërkimin e dobësive të asistuar nga inteligjenca artificiale së bashku me rishikimin njerëzor për të ndihmuar në shndërrimin e gjetjeve të sigurisë në rregullime të testuara që mund të zbulohen përmes kanaleve ekzistuese të projektit.
Pjesëmarrësit fillestarë përfshijnë Python, Go, cURL, Sigstore, NATS Server, aiohttp, freenginx, pyca/cryptography dhe python.org. Këto projekte mbështesin zhvillimin e softuerëve, rrjetëzimin, kriptografinë dhe infrastrukturën e zinxhirit të furnizimit të përdorur në një gamë të gjerë aplikacionesh dhe shërbimesh të ndërmarrjeve.
OpenAI tha se çdo angazhim do të fillojë me konsultim me mirëmbajtësit për të identifikuar se ku nevojitet më shumë mbështetje për sigurinë. Studiuesit më pas do të hetojnë dobësitë e mundshme, do të vërtetojnë problemet domethënëse, do të zhvillojnë ose rafinojnë patch-e, do të mbështesin testimin dhe do të koordinojnë zbulimin përmes kanaleve ekzistuese të projektit.
Studiuesit pjesëmarrës të sigurisë do të përdorin modelet e kompanisë dhe Codex Security për të analizuar kodin dhe për të ndihmuar në lëvizjen e rregullimeve drejt publikimit. Inxhinierët e Trail of Bits do të shqyrtojnë gjetjet përpara se ato t’u dërgohen mirëmbajtësve, një hap që synon të filtrojë pozitivët e rremë dhe raportet e dyfishta përpara se ato të shtojnë ngarkesën e punës së projekteve me burim të hapur.
Kompania po punon gjithashtu me HackerOne dhe Kaliforninë për të mbështetur klasifikimin e dobësive, zbulimin e koordinuar dhe punën shtesë të zbulimit ndërsa programi zgjerohet.
OpenAI tha se puna në kuadër të programit ka identifikuar tashmë “qindra probleme sigurie dhe ka bashkuar dhjetëra patch-e, me shumë të tjera që ende po i nënshtrohen zbulimit të koordinuar”.
Puna ka prodhuar gjithashtu mjete për fuzzing, analizë historike të CVE dhe testim diferencial, së bashku me sisteme për të filtruar gjetjet e pasakta përpara se të gjenerohen patch-e, shtoi OpenAI.
Fokusi në sigurinë me burim të hapur vjen pas incidenteve të tilla si Log4Shell dhe dera e pasme e XZ Utils , të cilat treguan se sa shpejt një defekt në një komponent të përbashkët mund të lëvizë nëpër softuerin e ndërmarrjes.
Analistët thanë se Patch the Planet e ndryshon ekuacionin e rrezikut vetëm nëse ndërmarrjet e trajtojnë kërkimin e cenueshmërisë së asistuar nga inteligjenca artificiale si një kontribut në një program më të gjerë rreziku të zinxhirit të furnizimit me softuer, jo si një zëvendësim për një të tillë.
“Ndryshimi kryesor është shpejtësia: Hulumtimi i asistuar nga inteligjenca artificiale mund të ndihmojë në gjetjen, validimin, korrigjimin, testimin dhe dokumentimin e problemeve më shpejt, ndërsa rishikuesit njerëzorë zvogëlojnë pozitivët e rremë përpara se mirëmbajtësit të ngarkohen”, tha Biswajeet Mahapatra , analisti kryesor në Forrester. “Por varësia nga ekspertiza e pakët nuk zhduket; ajo kalon në triazh, gjykimin e shfrytëzueshmërisë, sigurinë e korrigjimeve, kohën e zbulimit dhe shpërndarjen e prodhimit.”
CISO-të duhet të vendosin kontrolle qeverisjeje përpara se të përdorin kërkime mbi dobësitë e asistuara nga inteligjenca artificiale në kanalet e sigurisë së ndërmarrjeve, për të siguruar që gjetjet e paverifikuara të mos i mbingarkojnë ekipet e inxhinierisë, tha Devashri Datta , një arkitekt i sigurisë kibernetike me burim të hapur.
“CISO-të duhet të kërkojnë një Shtresë Rëndësie të Sigurisë në modelimin e tyre të rrezikut, një kornizë të strukturuar që kërkon që çdo gjetje e gjeneruar nga IA të kalojë verifikimin e automatizuar, duke përfshirë validimin dinamik të provës së konceptit dhe filtrimin e fortë të pozitivitetit të rremë, përpara se të arrijë te një analist njerëzor”, tha Datta.
Këto kontrolle duhet të mbulojnë edhe zbulimin, veçanërisht kur mjetet e inteligjencës artificiale identifikojnë të meta në komponentët me burim të hapur të palëve të treta që ndërmarrja nuk i kontrollon, tha Datta. Organizatat kanë nevojë për shtigje të paracaktuara përshkallëzimi, afate kohore njoftimi dhe caktime rolesh që hyjnë në fuqi sapo të gjendet një problem i konfirmuar në një varësi të jashtme.
“Zbulimi ad hoc në një mjedis të përshpejtuar nga IA nuk është vetëm një boshllëk procesi; është një pengesë”, tha Datta. “Besimi ndaj IA-së në procesin e prodhimit kërkon auditim të verifikueshëm: organizatat duhet të jenë në gjendje të gjurmojnë pse IA ka sinjalizuar një rresht kodi, si e ka vërtetuar shfrytëzimin dhe si e ka përcaktuar që patch-i nuk do të prishë sistemet e prodhimit në rrjedhën e poshtme.”
Hulumtimi i cenueshmërisë i asistuar nga inteligjenca artificiale mund t’i detyrojë ndërmarrjet të largohen nga ciklet periodike të përmirësimit dhe të drejtohen drejt një vlerësimi më të vazhdueshëm të rrezikut, thanë analistët. Nëse analiza e varianteve dhe testimi diferencial mund të kompresohen nga javë në ditë, ekipet e sigurisë mund të kenë nevojë për mënyra më të shpejta për të vendosur se cilat gjetje kanë më shumë rëndësi në mjediset e tyre.
Ky ndryshim gjithashtu do të thotë që ndërmarrjet nuk mund të mbështeten më vetëm në rezultatet e përgjithshme të CVSS për të përcaktuar përparësitë e korrigjimit, tha Datta. Gjetjet do të duhet të vlerësohen në krahasim me sistemin e prekur, rolin e tij në biznes, ekspozimin në kohën e ekzekutimit dhe mundësinë që një defekt të mund të shfrytëzohet.
“Duhet të ecim drejt një prioriteti të vetëdijshëm për kontekstin dhe kritik ndaj sigurisë”, tha Datta. “Programet SBOM dhe VEX të ndërmarrjeve duhet të evoluojnë nga fletëllogaritje pasive të pajtueshmërisë në burime të dhënash të drejtpërdrejta dhe të lexueshme nga makinat. Për kanalet e asistuara nga IA-ja, kjo do të thotë zgjerimi i modelit VEX për të mbuluar sipërfaqet e rrezikut të prezantuara nga IA.”
Mahapatra tha se programet e menaxhimit të dobësive do të duhet të lidhen më ngushtë me pronësinë e softuerit, reagimin e furnizuesit dhe ndikimin në biznes.
“Ekipet e sigurisë duhet të kalojnë nga trajtimi periodik i cenueshmërisë në uljen e vazhdueshme të ekspozimit”, tha Mahapatra.
Kjo do të thotë që SBOM-et duhet të trajtohen si inventarë të drejtpërdrejtë të lidhur me ekspozimin në kohën e ekzekutimit dhe përgjigjen e furnizuesit, në vend të dokumenteve statike të pajtueshmërisë. Vendimet për përditësimet duhet të marrin në konsideratë gjithashtu kritikalitetin e aseteve, shfrytëzimin, kontrollet kompensuese dhe ndikimin në biznes.