Край на човешките грешки: нов AI модел революционизира откриването на уязвимостите
Какво е AI Security Engineer и за какво той ще промени метода към създаването на безвреден програмен продукт?
На пазара се появиха първите в действителност работещи решения, които употребяват изкуствен интелект за разкриване на уязвимости в изходния код. Новото потомство AI-SAST системи – по този начин наречените „ AI Security Engineers “ – към този момент освен автоматизират статичния разбор, само че в действителност имитират метода на мислене на човешкия одитор-пентестер, като разпознават логическите дефекти, архитектурните неточности и несъответствията сред желанията на разработчика и реализацията.
Изследовател, който е тествал такива артикули, оповестява, че през днешния ден най-добре се показват ZeroPath, Corgea и Almanax. Тези принадлежности са в положение да откриват действителните уязвимости и бъгове, в това число комплицирани неточности в бизнес логиката, освен това за минути, без да употребяват строги сигнатурни правила. Те проучват подтекста, съпоставят функционалностите, променливите и данните сред файловете и даже генерират вероятните пачове на кода. Нивото на подправените позитивни резултати е видимо по-ниско от това на класическите SAST платформи.
AI-енджините на тези системи работят по многоетапна скица. Първо, те индексират хранилището, построяват нереално синтактично дърво и дефинират задачата на приложението. След това поредно проучват кода – ред по ред, функционалност по функционалност и файл по файл, като ползват лични логаритми за търсене, евристики и LLM поръчки. Последният стадий включва инспекции на достижимостта на уязвимостите, оценки на сериозността и автоматизирано дедублиране на резултатите. Някои решения, като ZeroPath, в допълнение проучват зависимостите, с цел да дефинират дали обществените CVE засягат съответен план, и генерират отчети на равнище SOC 2.
При тестванията ZeroPath сподели съвсем 100-процентно разкриване на тестовите уязвимости и разпознава повече от 50 нови казуса в обществени планове, в това число curl, sudo, Next.js, Avahi и Squid. Те включват препълване на буфера, неточна обработка на документите, приключване наизуст, неточна инспекция на изключенията и уязвимости в имплементациите на TLS. Corgea сподели високи резултати с JavaScript код и подробни доклади с графики за разбор на грешките, макар че имаше огромен брой подправени позитивни резултати. Almanax се оказа потребен за намиране на злонамерени фрагменти и елементарни неточности в границите на обособени файлове, само че се оправя по-зле с разбора на междуфайловите връзки.
Въпреки лимитираните благоприятни условия за автоматизирана промяна и редките неточности при класификацията, успеваемостта на тези системи към този момент е впечатляваща. Те са в положение да ревизират остарели фрагменти от кода, автоматизирано да проучват новите коммити, да се интегрират в CI/CD и да оказват помощ на разработчиците да отстраняват уязвимостите преди стартирането на продукта. При сегашната ниска цена тези решения се трансформират в извънредно преференциален инструмент за пентестерите и корпоративните екипи по сигурността.
Основният извод е, че AI-SAST платформите ще бъдат една от най-значимите софтуерни промени в киберсигурността след възраждането на fuzzing (фазинга) през 2010 година Те няма да заместят изцяло пентестерите, само че към този момент правят огромна част от рутинната работа, като усъвършенстват качеството на кода и понижават броя на сериозните уязвимости.
