La προγραμματισμός με τη βοήθεια τεχνητής νοημοσύνης Έχει πάψει να αποτελεί μια μελλοντική υπόσχεση και έχει γίνει η καθημερινή πραγματικότητα για χιλιάδες ομάδες ανάπτυξης. Μέσα σε λίγα δευτερόλεπτα, ένας βοηθός τεχνητής νοημοσύνης μπορεί να παράγει ολοκληρωμένες λειτουργίες, σενάρια, ακόμη και ολόκληρες εφαρμογές, και αυτό ενισχύει την παραγωγικότητα, αλλά και αυξάνει τους κινδύνους.
Αυτό που πολλοί οργανισμοί δεν έχουν ακόμη κατανοήσει είναι ότι Η Τεχνητή Νοημοσύνη δεν αναλαμβάνει καμία ευθύνη.Όταν ο κώδικας αποτυγχάνει, η τεχνική ομάδα είναι αυτή που πρέπει να αντιμετωπίσει την κρίση. Και το πρόβλημα δεν είναι μόνο ότι ο κώδικας μπορεί να είναι κακώς σχεδιασμένος ή δύσκολος στη συντήρηση. Η πραγματική πρόκληση είναι ότι, σε ένα τεράστιο ποσοστό περιπτώσεων, φτάνει στην παραγωγή με σοβαρά τρωτά σημεία ασφαλείας.
Κώδικας που δημιουργείται από τεχνητή νοημοσύνη: ρεκόρ παραγωγικότητας και επιφάνεια επίθεσης χωρίς ίχνος
Σε πολύ σύντομο χρονικό διάστημα έχουμε φτάσει σε ένα σενάριο όπου Ένα πολύ υψηλό ποσοστό του κώδικα παραγωγής προέρχεται ήδη από μοντέλα Τεχνητής Νοημοσύνης.Μελέτες δείχνουν ότι το ένα τρίτο των προγραμματιστών αναγνωρίζουν ότι περισσότερο από το 60% αυτών που γράφουν προέρχεται από έξυπνους βοηθούς και ότι οι εταιρείες βλέπουν ήδη θεαματικές αυξήσεις στην παραγωγικότητα χάρη στον λεγόμενο «κωδικοποίηση vibe», τον προγραμματισμό που βασίζεται σε προτροπές.
Η άλλη όψη του νομίσματος είναι ότι Περίπου το ήμισυ του αυτόματα δημιουργούμενου κώδικα έχει κάποια ευπάθειαΑυτά κυμαίνονται από ενέσεις SQL έως κρυπτογραφικά σφάλματα και κακώς σχεδιασμένα συστήματα ελέγχου πρόσβασης. Σε ορισμένες γλώσσες, όπως η Java, έχει διαπιστωθεί ότι περισσότερο από το 70% του κώδικα που προτάθηκε από την Τεχνητή Νοημοσύνη περιείχε κενά ασφαλείας.
Αυτή η κατάσταση προκαλεί Πολλοί οργανισμοί στέλνουν στην παραγωγή λογισμικό που ήδη υποψιάζονται ότι δεν είναι τέλειο.Υπάρχουν αναφορές ότι περισσότερο από το 80% των ομάδων παραδέχονται ότι έχουν αναπτύξει κώδικα γνωρίζοντας ότι δεν ήταν πλήρως ώριμος και σχεδόν όλες έχουν υποστεί κάποιο περιστατικό κυβερνοασφάλειας που συνδέεται με τρωτά σημεία στον εν λόγω κώδικα.
Για να γίνουν τα πράγματα χειρότερα, το φαινόμενο της Shadow AIΟι εργαζόμενοι χρησιμοποιούν εργαλεία δημιουργικής τεχνητής νοημοσύνης χωρίς οργανωτική εποπτεία, αντιγράφοντας και επικολλώντας αποσπάσματα κώδικα ή ακόμα και επικολλώντας ευαίσθητες πληροφορίες σε μηνύματα. Αυτό ανοίγει την πόρτα σε διαρροές δεδομένων και στον σιωπηλό πολλαπλασιασμό μη ασφαλών στοιχείων, που είναι αδύνατο να εντοπιστούν στη συνέχεια.
Πολλοί από αυτούς τους κινδύνους επιδεινώνονται από την μαζική εισροή «πολιτών προγραμματιστών»Το προσωπικό χωρίς στέρεο υπόβαθρο στη μηχανική λογισμικού βασίζεται στην Τεχνητή Νοημοσύνη για τη δημιουργία αυτοματισμών, μικρών εσωτερικών εφαρμογών ή ενσωματώσεων. Ο κώδικας παράγει λειτουργικά αποτελέσματα, αλλά συχνά δεν διαθέτει ούτε καν τις πιο βασικές εγγυήσεις ασφάλειας και ποιότητας.
Οι κύριοι κίνδυνοι ασφαλείας στον κώδικα που δημιουργείται από την Τεχνητή Νοημοσύνη
Η εμφάνιση της Τεχνητής Νοημοσύνης στην ανάπτυξη λογισμικού δεν έχει δημιουργήσει νέα τρωτά σημεία, αλλά έχει πολλαπλασιάσει την ταχύτητα και τον όγκο με τον οποίο εμφανίζονται παλιές αδυναμίεςΑρκετές αναλύσεις εταιρειών κυβερνοασφάλειας συμφωνούν σε μια σειρά από ιδιαίτερα κρίσιμους κινδύνους όταν η ομάδα βασίζεται υπερβολικά σε παραγωγικά εργαλεία.
Ένα από τα πιο ορατά είναι το «κωδικοποίηση vibe» χωρίς μια σειρά από δοκιμές ή σοβαρές κριτικέςΟλοκληρωμένες λειτουργίες ή υπηρεσίες δημιουργούνται αμέσως μετά από μια προτροπή, δοκιμάζονται επιφανειακά για να διασφαλιστεί ότι «λειτουργούν» και στη συνέχεια ενσωματώνονται χωρίς δοκιμές ασφαλείας, αξιολόγηση από ομοτίμους ή αυτοματοποιημένη ανάλυση. Αυτό επιτρέπει την διέλευση βασικών ευπαθειών, ευπαθειών που θα είχε εντοπίσει οποιοσδήποτε ελάχιστα αυστηρός έλεγχος.
Επίσης, ανησυχητικά είναι ataques a la cadena de suministro de softwareΤα μοντέλα τεχνητής νοημοσύνης τείνουν να προτείνουν εξαρτήσεις τρίτων για την επίλυση συνηθισμένων προβλημάτων. Εάν αυτές οι εξαρτήσεις δεν παρακολουθούνται και δεν αναλύονται με εργαλεία Ανάλυσης Σύνθεσης Λογισμικού (SCA), ανοίγει η πόρτα στην εισαγωγή κακόβουλων βιβλιοθηκών ή παραβιασμένων εκδόσεων σε χιλιάδες έργα με μία μόνο ενέργεια.
La Έλλειψη συνεχούς παρακολούθησης και ελέγχου των εξωτερικών πακέτων Επιτρέπει σε ενότητες με ασαφή κώδικα ή ύποπτη συμπεριφορά να εκτελούνται εντός συστημάτων χωρίς να ενεργοποιούν ειδοποιήσεις. Όταν η Τεχνητή Νοημοσύνη προτείνει και ενσωματώνει αυτά τα στοιχεία τόσο εύκολα, ο κίνδυνος εισβολής κακόβουλου λογισμικού μεταμφιεσμένου σε μια «ακίνδυνη» βιβλιοθήκη εκτοξεύεται στα ύψη.
Ένα άλλο ευαίσθητο μέτωπο είναι το Ενσωμάτωση γλωσσικών μοντέλων με βάσεις δεδομένων και εσωτερικά συστήματαΗ σύνδεση ενός LLM με εταιρικές πληροφορίες χωρίς επαρκείς ελέγχους ανοίγει την πόρτα σε επιθέσεις άμεσης έγχυσης και άμεσης δηλητηρίασης: κακόβουλες οδηγίες κρυμμένες σε δεδομένα ή μηνύματα που αναγκάζουν το μοντέλο να αποκαλύψει μυστικά, να παρακάμψει πολιτικές ή να εκτελέσει ακατάλληλες ενέργειες.
Επιπλέον, έχουν εντοπιστεί τα ακόλουθα: χιλιάδες ενεργά διαπιστευτήρια και μυστικά σε δημόσια σύνολα δεδομένων που χρησιμοποιούνται για την εκπαίδευση μοντέλων από την Τεχνητή Νοημοσύνη. Τα κλειδιά API, οι κωδικοί πρόσβασης και τα διακριτικά καταλήγουν να ενσωματώνονται σε αποθετήρια, φόρουμ ή δείγματα κώδικα και μπορούν να επανεμφανιστούν στις απαντήσεις ενός μοντέλου ή να αξιοποιηθούν από εισβολείς που αναλύουν αυτά τα σύνολα δεδομένων.
Δεν πρέπει να ξεχνάμε την ρίζα του προβλήματος: Η ασφάλεια εκ σχεδιασμού εξακολουθεί να απουσιάζει σε μεγάλο βαθμόΗ πλειοψηφία των προγραμματιστών παραδέχεται ότι αφιερώνει περισσότερο χρόνο στην επιδιόρθωση σφαλμάτων παρά στην ενσωμάτωση απαιτήσεων ασφαλείας από τη φάση του σχεδιασμού. Σε περιβάλλοντα όπου η ταχύτητα παράδοσης είναι ύψιστης σημασίας, η επιχειρηματική πίεση ωθεί τους προγραμματιστές να «κυκλοφορήσουν τη λειτουργικότητα τώρα» και να αφήσουν την ασφάλεια για αργότερα... αν ποτέ έρθει αυτή η ώρα.
Το όραμα των CISO, των αρχιτεκτόνων και των ειδικών: αποδοχή της Τεχνητής Νοημοσύνης, αλλά με έλεγχο
Σε διάφορες επαγγελματικές συναντήσεις και στρογγυλές τράπεζες, διευθυντές κυβερνοασφάλειας από τραπεζικές εταιρείες, βιομηχανίες, εταιρείες συμβούλων τεχνολογίας και εταιρείες παροχής υπηρεσιών συμφωνούν ότι Η τεχνητή νοημοσύνη στην ανάπτυξη κώδικα δεν είναι πλέον προαιρετικήΧρησιμοποιείται μαζικά και κανένας λογικός CISO δεν θα σκεφτόταν να το απαγορεύσει εντελώς.
Αυτό που εξετάζουν είναι Πώς να μετριάσετε τους κινδύνους χωρίς να εμποδίσετε την καινοτομίαΠολλοί προωθούν στρατηγικές ασφαλούς ανάπτυξης που βασίζονται στην προσέγγιση «μετατόπισης προς τα αριστερά»: φέρνοντας τις δοκιμές ασφαλείας, την ανάλυση SAST και την αναθεώρηση εξαρτήσεων στα πρώτα στάδια του κύκλου ζωής του λογισμικού, ακριβώς τη στιγμή που ο προγραμματιστής —ή η τεχνητή νοημοσύνη— γράφει τις πρώτες γραμμές.
Αυτή η αλλαγή σημαίνει ότι Οι ομάδες κυβερνοασφάλειας δεν φτάνουν πλέον στο τέλος, όταν όλα έχουν αναπτυχθεί και τεθεί σε παραγωγή.Αντί να λένε απλώς ότι πρέπει να καταργηθεί και να ξαναχτιστεί, υποστηρίζουν την ανάπτυξη από την πρώτη κιόλας υποβολή, ενσωματώνοντας εργαλεία που αναλύουν τον κώδικα σε πραγματικό χρόνο και προσφέρουν άμεσες προτάσεις.
Σε οργανισμούς όπου η ανάπτυξη ανατίθεται σε εξωτερικούς συνεργάτες ή ο όγκος του ιδιόκτητου κώδικα δεν είναι τεράστιος, οι διαχειριστές ασφάλειας απαιτούν ορατότητα στον τρόπο δημιουργίας αυτού του κώδικαΘέλουν διαβεβαιώσεις ότι οι προμηθευτές χρησιμοποιούν ασφαλείς πρακτικές, δεν βασίζονται τυφλά σε βοηθούς τεχνητής νοημοσύνης και υποβάλλουν τον κώδικα σε σαρωτές και επίσημες αξιολογήσεις πριν από την παράδοση.
Άλλοι CISO αρχίζουν να βλέπουν τους προγραμματιστές ως «επικυρωτές» αυτού που παράγει η Τεχνητή ΝοημοσύνηΑντί να είμαστε οι συντάκτες κάθε γραμμής, ο ρόλος αλλάζει: δεν πρόκειται πλέον μόνο για την παραγωγή κώδικα, αλλά για την κατανόησή του, την αμφισβήτησή του, την αναθεώρησή του και τη βελτίωση αυτού που προτείνει το μοντέλο, ειδικά σε ευαίσθητους τομείς όπως η αυθεντικοποίηση, η εξουσιοδότηση, η κρυπτογράφηση ή η επεξεργασία προσωπικών δεδομένων.
Σε εταιρείες με μεγάλο αριθμό παλαιού λογισμικού, η έμφαση δίνεται έλεγχος ευπαθειών που εμφανίζονται σε βιβλιοθήκες τρίτων και σε παλαιότερα επίπεδα που κανείς δεν τολμά να αγγίξει. Εδώ, αυτοματοποιημένα εργαλεία ανάλυσης και πράκτορες τεχνητής νοημοσύνης που ειδικεύονται στην ασφάλεια αρχίζουν να βοηθούν στη χαρτογράφηση των κινδύνων και στην ιεράρχηση των όσων πρέπει να διορθωθούν πρώτα.
Η Τεχνητή Νοημοσύνη ως αμυντικός σύμμαχος: ανίχνευση, ιεράρχηση προτεραιοτήτων και αντίδραση
Η ίδια τεχνολογία που διευκολύνει τη σύνταξη μη ασφαλούς κώδικα αλλάζει ριζικά και τον τρόπο που αμυνόμαστε εναντίον του. Στα κέντρα επιχειρήσεων ασφαλείας (SOC), στις πλατφόρμες SIEM και στα εργαλεία ανάλυσης κώδικα, Τα μοντέλα γενετικής τεχνητής νοημοσύνης και βαθιάς μάθησης γίνονται βασικά στοιχεία.
Μηχανές ανίχνευσης που βασίζονται σε τεχνητή νοημοσύνη Δεν περιορίζονται στην αναζήτηση στατικών υπογραφών ή μοτίβωνΕίναι ικανοί να αναλύουν τη συμπεριφορά κώδικα, τις ροές εκτέλεσης και τις σημασιολογικές σχέσεις μεταξύ συναρτήσεων. Εκπαιδευμένοι με τεράστια αποθετήρια και δεδομένα απειλών από τον πραγματικό κόσμο, εντοπίζουν τρωτά σημεία και κακόβουλη λογική ακόμη και όταν ο κώδικας είναι γραμμένος σε μη συμβατικά στυλ ή συνδυάζει γλώσσες.
Επιπλέον, αυτά τα μοντέλα προσφέρουν πλαίσιο απειλής και έξυπνη ιεράρχηση προτεραιοτήτωνΔεν απαιτούν όλες οι ευπάθειες την ίδια προσπάθεια: ένα εκμεταλλεύσιμο ελάττωμα σε μια κρίσιμη υπηρεσία που εκτίθεται στο διαδίκτυο έχει πολύ μεγαλύτερο βάρος από ένα σφάλμα σε ένα εσωτερικό εργαλείο. Η Τεχνητή Νοημοσύνη μπορεί να διασταυρώσει πληροφορίες έκθεσης, κρισιμότητα πόρων, ιστορικό εκμετάλλευσης και πραγματική διαμόρφωση για να ιεραρχήσει τις ειδοποιήσεις και να εστιάσει την ομάδα σε αυτό που είναι πραγματικά επικίνδυνο.
Ένα άλλο ισχυρό σημείο είναι το δεξιότητες συνεχούς μάθησης και προσαρμογήςΚαθώς οι τακτικές των επιτιθέμενων εξελίσσονται και τα στυλ κωδικοποίησης αλλάζουν, τα μοντέλα προσαρμόζονται, ενσωματώνοντας νέους φορείς επίθεσης και κανόνες που προκύπτουν από περιστατικά του πραγματικού κόσμου. Αυτό καθιστά τις άμυνες έναν ζωντανό οργανισμό που αναπτύσσεται παράλληλα με το ίδιο το οικοσύστημα λογισμικού.
Στον τομέα της αντιμετώπισης περιστατικών, η γενετική τεχνητή νοημοσύνη επιτρέπει αυτοματοποιούν ένα μεγάλο μέρος των αρχικών ενεργειώνΚατηγοριοποίηση συμβάντων, δημιουργία σεναρίων απόκρισης, απομόνωση των επηρεαζόμενων συστημάτων, συστάσεις μετριασμού και δημιουργία σαφών αναφορών για τις τεχνικές και διοικητικές ομάδες. Όλα αυτά μειώνουν τους χρόνους απόκρισης, αποτρέπουν σφάλματα και απαλλάσσουν τους αναλυτές από επαναλαμβανόμενες εργασίες.
Τα γενετικά μοντέλα χρησιμοποιούνται επίσης για προσομοίωση κυβερνοεπιθέσεων και εκπαίδευση των ομάδων με ρεαλιστικά σενάρια. Η Τεχνητή Νοημοσύνη παράγει εύλογες καμπάνιες ηλεκτρονικού "ψαρέματος" (phishing), σύνθετες ακολουθίες επιθέσεων ή ασυνήθιστα πρότυπα συμπεριφοράς που αναγκάζουν τους αναλυτές να αντιδρούν και να βελτιώνουν τις ικανότητές τους στη λήψη αποφάσεων υπό πίεση.
Κακόβουλο λογισμικό και Τεχνητή Νοημοσύνη: διαφημιστική εκστρατεία, τρέχοντες περιορισμοί και πιθανή εξέλιξη
Παράλληλα με την άνοδο της αμυντικής τεχνητής νοημοσύνης, έχουν αναδυθεί και άλλες τεχνολογίες πρωτότυπα κακόβουλου λογισμικού που ενσωματώνουν μοντέλα γλώσσας ή που αξιοποιούν τις υπηρεσίες Τεχνητής Νοημοσύνης για δυναμικές αλλαγές. Πειράματα όπως το BlackMamba, το EyeSpy ή το worm Morris II έχουν δείξει ότι είναι τεχνικά εφικτό να χρησιμοποιηθεί ένα LLM για τη δημιουργία κακόβουλου κώδικα κατά τον χρόνο εκτέλεσης, την αξιολόγηση στόχων ή τη διάδοση επιθέσεων μέσω εγχυμένων οδηγιών.
Ωστόσο, αρκετοί ειδικοί στην αντίστροφη μηχανική και την ομαδοποίηση με κόκκινο χρώμα επισημαίνουν ότι, Προς το παρόν, αυτά τα παραδείγματα αποτελούν περισσότερο τεχνικές περιέργειες παρά ανυπέρβλητες απειλές.Οι δυνατότητες που επιδεικνύουν—πολυμορφισμός, εκτέλεση στη μνήμη, συσκότιση ή επιλογή στόχου—υπήρχαν ήδη σε προηγμένο κακόβουλο λογισμικό και εξακολουθούν να μπορούν να ανιχνευθούν με τις τρέχουσες άμυνες.
Ένας από τους λόγους είναι ότι Ο κώδικας που παράγεται από μοντέλα που έχουν εκπαιδευτεί σε δημόσια δεδομένα τείνει να είναι λιγότερο περίπλοκος από τον κώδικα που έχει γραφτεί ειδικά από έναν έμπειρο εισβολέα.Τα LLM βασίζονται σε μαθημένα μοτίβα. Συνήθως δεν εφευρίσκουν εντελώς νέες αρχιτεκτονικές κακόβουλου λογισμικού από την αρχή και συχνά παράγουν μέτρια, περιττά ή εύκολα υπογεγραμμένα τμήματα.
Επιπλέον, Για να αξίζει τον κόπο ένα κακόβουλο λογισμικό που βασίζεται στην τεχνητή νοημοσύνη, πρέπει να προσφέρει σαφή απόδοση της επένδυσης. σε όσους το αναπτύσσουν. Όπως ακριβώς συνέβη με το ransomware ή το cryptojacking, δεν θα δούμε εκτεταμένη χρήση ορισμένων τεχνικών μέχρι να ενσωματωθούν άψογα σε νόμιμο λογισμικό και να υπάρξει μια ώριμη υποδομή για να τις υποστηρίξει.
Τούτου λεχθέντος, οι ειδικοί συμφωνούν ότι, αν τα μοντέλα συνεχίσουν να βελτιώνονται με τον τρέχοντα ρυθμόΘα έρθει μια στιγμή όπου θα μπορούν πράγματι να βοηθήσουν στη δημιουργία πιο σύνθετων και προσαρμοστικών απειλών. Σε αυτό το σενάριο, θα είναι απαραίτητο να ενισχυθεί περαιτέρω η ανθρώπινη εποπτεία, να προστατευθούν τα μοντέλα από χειραγώγηση και να διασφαλιστεί η ασφάλεια ολόκληρου του αγωγού τεχνητής νοημοσύνης.
Διασφάλιση του πλήρους κύκλου ζωής της Τεχνητής Νοημοσύνης: δεδομένα, μοντέλα και αγωγός
Όταν συζητάμε για την κυβερνοασφάλεια σε κώδικα που δημιουργείται από τεχνητή νοημοσύνη, δεν αρκεί απλώς να δούμε το αποθετήριο: Ολόκληρος ο αγωγός τεχνητής νοημοσύνης πρέπει να προστατεύεται από άκρο σε άκρο.από τη συλλογή δεδομένων έως την ανάπτυξη και τη συντήρηση του μοντέλου.
Ο πρώτος πυλώνας είναι ο προστασία δεδομένων εκπαίδευσης και προτροπώνκαι η επιλογή ασφαλών πλατφορμών όπως δωρεάν λειτουργικά συστήματαΕάν τα σύνολα δεδομένων περιέχουν ευαίσθητες, μη ανώνυμες πληροφορίες ή εάν οι χρήστες επικολλούν μυστικά και προσωπικά δεδομένα σε ερωτήματα, υπάρχει κίνδυνος διαρροών πληροφοριών, επανεμφάνισης διαπιστευτηρίων σε απαντήσεις ή ακόμη και μαζικών παραβιάσεων δεδομένων εάν ο πάροχος Τεχνητής Νοημοσύνης έχει παραβιαστεί.
Ο δεύτερος πυλώνας είναι η ακεραιότητα μοντέλων και αλγορίθμωνΕπιθέσεις όπως η αλλοίωση δεδομένων μπορούν να μολύνουν τα δεδομένα εκπαίδευσης για να παραμορφώσουν τα αποτελέσματα. Άλλοι φορείς επιδιώκουν να εκμεταλλευτούν τα τρωτά σημεία των API συμπερασμάτων για να εξαγάγουν το μοντέλο ή να τροποποιήσουν τη συμπεριφορά του. Η διατήρηση αυστηρών ελέγχων πρόσβασης, κρυπτογράφησης, παρακολούθησης και συνεχούς αξιολόγησης είναι απαραίτητη.
Το τρίτο κομμάτι είναι το διακυβέρνηση και εποπτεία ολόκληρου του αγωγούΑυτό περιλαμβάνει την παρακολούθηση του ποιος χρησιμοποιεί την Τεχνητή Νοημοσύνη, για ποιους σκοπούς, ποιους τύπους κώδικα δημιουργεί, σε ποιες αξιολογήσεις υποβάλλεται και πώς τα αποτελέσματά της ενσωματώνονται στα συστήματα παραγωγής. Χωρίς αυτήν την ορατότητα, η Shadow AI πολλαπλασιάζεται και η διαχείριση κινδύνων καθίσταται αδύνατη.
Οι καλές πρακτικές σε αυτόν τον τομέα περιλαμβάνουν ισχυρές πολιτικές δεδομένων, ισχυρή κρυπτογράφηση, έλεγχος ταυτότητας πολλαπλών παραγόντων, αρχές ελαχίστων προνομίων για πρόσβαση στα μοντέλα, στα προστατευτικά κιγκλιδώματα στις προτροπές, σε υποχρεωτικές χειροκίνητες αναθεωρήσεις και σε συνεχή παρακολούθηση των εισροών, των εκροών και των πραγματικών επιπτώσεων στο περιβάλλον.
Πλαίσιο SHIELD: Ορισμός σαφών ορίων στον προγραμματισμό με τη βοήθεια τεχνητής νοημοσύνης
Για να μεταφράσουν όλα τα παραπάνω σε πρακτικούς ελέγχους, ορισμένες εταιρείες συμβούλων ασφαλείας έχουν προτείνει συγκεκριμένα πλαίσια για μειώστε τον κίνδυνο «κωδικοποίησης vibe»Ένα από τα πιο ολοκληρωμένα είναι το πλαίσιο SHIELD, το οποίο συνοψίζει σε έξι γράμματα τις βασικές αρχές για την υπεύθυνη χρήση της Τεχνητής Νοημοσύνης στην ανάπτυξη.
Το "S" στο SHIELD αναφέρεται στο Διαχωρισμός καθηκόντωνΣτόχος είναι να αποτραπεί η κατοχή μικτών δικαιωμάτων από τους πράκτορες τεχνητής νοημοσύνης που φτάνουν σε περιβάλλοντα παραγωγής. Η λογική προσέγγιση είναι να περιοριστεί το πεδίο εφαρμογής τους στην ανάπτυξη και τις δοκιμές, χωρίς ισχυρά διαπιστευτήρια ή άμεση πρόσβαση σε πραγματικές βάσεις δεδομένων.
Το «H» αντιστοιχεί σε Άνθρωπος στο κύκλωμαΑυτό σημαίνει ότι ο κώδικας που δημιουργείται από τεχνητή νοημοσύνη πρέπει πάντα να ελέγχεται και να εγκρίνεται από εξειδικευμένο προσωπικό, ειδικά όταν χρησιμοποιείται από μη επαγγελματίες προγραμματιστές. Δεν πρέπει να συγχωνεύονται σημαντικές αλλαγές χωρίς εποπτευόμενο αίτημα έλξης.
Το «εγώ» δείχνει προς το Επικύρωση εισόδου και εξόδουΕίναι απαραίτητο να διαχωρίζονται με σαφήνεια οι αξιόπιστες οδηγίες από τα αναξιόπιστα δεδομένα, να απολυμαίνονται οι υποδείξεις, να ελέγχεται τι ζητείται από το μοντέλο και να υποβάλλεται το αποτέλεσμα σε εργαλεία όπως το SAST πριν από την ενσωμάτωσή του στη βάση κώδικα.
Το «Ε» εστιάζει Βοηθητικά μοντέλα με γνώμονα την ασφάλειαΑντί να βασίζεστε σε έναν μόνο βοηθό γενικής χρήσης, συνιστάται να τον συμπληρώνετε με συγκεκριμένα εργαλεία για μυστική σάρωση, επαλήθευση ελέγχου, SCA, ανίχνευση φανταστικής εξάρτησης και επαλήθευση διαμόρφωσης υποδομής ως κώδικα.
Το «Λ» αναφέρεται στο αρχή της «ελάχιστης δράσης» ή ελάχιστης δράσηςΟι πράκτορες τεχνητής νοημοσύνης θα πρέπει να λειτουργούν με τα ελάχιστα δυνατά δικαιώματα: καμία πρόσβαση σε ευαίσθητα αρχεία, αυστηρά όρια στις καταστροφικές εντολές και καμία δυνατότητα αυτόματης εκτέλεσης αλλαγών σε κρίσιμα περιβάλλοντα.
Τέλος, το «Δ» αναφέρεται στο Αμυντικοί τεχνικοί έλεγχοιΠριν από την ανάπτυξη, είναι απαραίτητο να εκτελέσετε το SCA, να απενεργοποιήσετε τυχόν μηχανισμούς αυτόματης ανάπτυξης που εμποδίζουν την ανθρώπινη παρέμβαση, να επιβάλετε στάδια ασφαλείας στους αγωγούς και να καταγράψετε διεξοδικά κάθε ενέργεια που προκύπτει από μια πρόταση τεχνητής νοημοσύνης.
Αυτού του είδους τα πλαίσια στοχεύουν σε κάτι πολύ απλό: Επωφεληθείτε από την επιτάχυνση που προσφέρει η Τεχνητή Νοημοσύνη χωρίς να χάσετε τον έλεγχοΉ, για να το θέσω πιο άμεσα, ο βοηθός θα πρέπει να γράφει περισσότερες γραμμές ανά λεπτό, αλλά η ευθύνη, τα κριτήρια και οι αποφάσεις θα πρέπει να παραμένουν στα χέρια της ανθρώπινης ομάδας.
Αυτό το ολόκληρο νέο οικοσύστημα —με την Τεχνητή Νοημοσύνη να παράγει κώδικα με υψηλή ταχύτητα, τις άμυνες που βασίζονται σε μοντέλα, τα πλαίσια όπως το SHIELD και μια κουλτούρα που διχάζεται ανάμεσα στη βιασύνη και τη σύνεση— αναγκάζει τους οργανισμούς να ωριμάσουν. Όσοι καταφέρουν να συνδυάσουν ορθές πρακτικές μηχανικής, συνεχή εκπαίδευση στον κυβερνοχώρο, αυστηρή ανθρώπινη εποπτεία και έξυπνη χρήση της τεχνητής νοημοσύνης θα είναι αυτοί που θα κάνουν τον κώδικά τους... γρήγορη στην παραγωγή, ισχυρή, ασφαλής και ευθυγραμμισμένη με τους επιχειρηματικούς στόχουςχωρίς να πέφτουν στην παγίδα να γίνονται απλοί γρήγοροι χειριστές ή να σβήνουν συνεχώς πυρκαγιές ασφαλείας.
