Las IA descubren vulnerabilidades
He estado escribiendo sobre el potencial de las IA para descubrir automáticamente vulnerabilidades en el código desde al menos 2018. Esta es un área de investigación en curso: las IA analizan el código fuente, las IA encuentran ceros en la naturaleza y todo lo demás. Las IA todavía no son muy buenas en esto, pero están mejorando.
Aquí hay algunos datos anecdóticos de este verano:
Desde julio de 2024, ZeroPath está adoptando un nuevo enfoque que combina un análisis profundo de programas con agentes de IA adversarios para su validación. Nuestra metodología reveló muchas vulnerabilidades críticas en los sistemas de producción, incluidas varias que las herramientas tradicionales de pruebas de seguridad de aplicaciones estáticas (SAST) no estaban equipadas para detectar. Este artículo proporciona un análisis técnico en profundidad de nuestra metodología de investigación y un resumen vívido de los errores encontrados en herramientas populares de código abierto.
Espere muchos avances en esta área en los próximos años.
Esto es lo que yo dicho en una entrevista reciente:
Sigamos con el software. Imaginemos que tuviéramos una IA que encontrara vulnerabilidades de software. Sí, los atacantes pueden utilizar estas IA para ingresar a los sistemas. Pero los defensores pueden utilizar las mismas IA para detectar vulnerabilidades de software y luego solucionarlas. Esta capacidad, una vez que exista, probablemente se integrará en el conjunto estándar de herramientas de desarrollo de software. Podemos imaginar un futuro en el que todas las vulnerabilidades que se encuentran fácilmente (no todas las vulnerabilidades; hay muchos resultados teóricos al respecto) se eliminan del software antes de su lanzamiento.
Cuando llegue ese día, todo el código existente será vulnerable. Pero cualquier código nuevo sería seguro. Y, con el tiempo, estas vulnerabilidades del software serán cosa del pasado. En mi cabeza, un futuro programador sacude la cabeza y dice: “¿Recuerdas las primeras décadas de este siglo, cuando el software estaba lleno de vulnerabilidades? Esto fue antes de que las IA los encontraran a todos. Vaya, esos fueron tiempos locos. Aún no hemos llegado a ese punto. Ni siquiera hemos llegado a ese punto todavía. Pero esa es una extrapolación razonable.
Publicado el 5 de noviembre de 2024 a las 7:08 a.m. • 0 comentarios