Специалистите по киберсигурност трябва да се възползват от ограничения прозорец от възможности за разработване на предпазни мерки около генерирането на софтуер, подобрен с изкуствен интелект – метод, станал известен като „vibe coding”.
Общността на професионалистите по сигурността следва да работи задружно за разработване на предпазни мерки около „vibe” коденето, заяви главният изпълнителен директор на британския Национален център за киберсигурност (NCSC) – Ричард Хорн.
В противен случай специалистите рискуват да загубят контрол над случващото се и да изложат организациите на кибератаки и други смущения, каза Хорн в реч, произнесена на годишната конференция RSAC в Сан Франциско.
Огромна възможност с риск
Ситуацията с vibe коденето подчертава как съвременното общество се сблъсква с текущи и фундаментални проблеми с технологиите, благодарение на експлоатираните уязвимости.
Но макар да е вярно, че несигурният софтуер, произведен без човешки поглед върху кода, може да разпространява уязвимости надлъж и нашир, добре обучените AI инструменти все пак биха могли да създадат софтуер, който е проектиран сигурно, смята Хорн.
„Привлекателността на „vibe” коденето е ясна. Разрушаването на статуквото на ръчно произведения софтуер, който е постоянно уязвим, е огромна възможност, но не без собствен риск“, каза той.
„Инструментите с изкуствен интелект, които използваме за разработване на код, трябва да бъдат проектирани и обучени от самото начало, така че да не въвеждат или разпространяват непреднамерени уязвимости“, допълни Хорн.
Киберпрофесионалистите също носят отговорност да гарантират, че бъдещето, в което „vibe coding” и други инструменти за генериране на код с изкуствен интелект ще бъдат широко възприети, ще се окаже „нетно положително“, смята специалистът.
Нова парадигма
В блог-публикация висшето техническо ръководство на NCSC твърди, че макар „vibe“ коденето да представлява „непоносим риск“ за много организации в сегашния си вид, тенденцията предлага „проблясъци на нова парадигма“.
Всъщност, пише техническият директор по архитектурата на агенцията, кодирането, подкрепено от изкуствен интелект, в крайна сметка може да се окаже толкова технологична революция, колкото софтуерът като услуга (SaaS).
Разбира се, не може да се твърди, че организациите внезапно ще се втурнат да използват изкуствен интелект, за да създадат заместители на своите съществуващи бизнес-системи като CRM и ERP, нито други платформи.
Но според NCSC, вече има ясни индикации, че кривата на разходите спрямо усилията за „достатъчно персонализиран“ софтуер се измества и все повече организации скоро ще започнат да правят различен избор, когато става въпрос за софтуер.
Предвид многобройните опасения за сигурността около SaaS – като например подходящо удостоверяване и контрол на достъпа, неправилни конфигурации и др. – които никога не са били напълно решени до постигане на пълно удовлетворение за всички, това повдига въпроса какви технологии, предпазни мерки, платформи и гаранции трябва да има общността по сигурността, за да гарантира, че бъдещето с „vibe coding“ е по-безопасно от статуквото.
Тема за размисъл
Някои от предпазните мерки, за които лидерите по сигурността трябва да започнат да се застъпват, са очевидни, заявиха от NCSC. Например, моделите с изкуствен интелект трябва да бъдат обучени за сигурност още при проектирането.
Хората трябва да имат доверие в произхода на модела и да могат да са сигурни, че той не е разработен зле. Следва да се помисли също как изкуственият интелект може да се използва за преглед както на код, генериран от хора, така и на код, генериран от изкуствен интелект.
Но има и по-нюансирани въпроси, като например как да се използват детерминистични архитектури, за да се ограничи какво може да направи кодът, ако се окаже злонамерен, компрометиран или опасен.
Друг въпрос е какви платформи трябва да бъдат проектирани да хостват услуги, генерирани от изкуствен интелект, които внедряват необходимите контроли за защита на данните и потребителите.
Не на последно място, важно е как изкуственият интелект може да се използва за гарантиране на хигиената на сигурността на софтуера чрез практики като документация, тестови случаи, размиване или актуализиране на модели на заплахи.
