未修补的软件漏洞长期以来一直是网络安全的一个长期痛点,每年都会导致代价高昂的数据泄露。 根据 IBM 的《2023 年数据泄露成本报告》,平均而言,因利用已知漏洞而导致的数据泄露成本为 417 万美元。
问题是:组织修复软件缺陷的速度赶不上威胁行为者发现并利用这些缺陷的速度。 根据 Verizon 的“2024 年数据泄露调查报告”,一旦发布严重漏洞,恶意扫描活动平均会在五天内开始。 另一方面,在关键漏洞修复可用两个月后,其中近一半仍未修复。
一个潜在的解决方案:生成式人工智能。 一些网络安全专家认为,GenAI 不仅可以发现错误,还可以修复错误,从而帮助缩小这一差距。 在内部实验中,Google 的大型语言模型 (LLM) 已经取得了适度但显着的成功,修复了其针对的 15% 的简单软件错误。
在 RSA 会议 (RSAC) 2024 的演讲中,Google DeepMind 网络安全技术和研究负责人 Elie Bursztein 表示,他的团队正在积极测试各种人工智能安全用例,从网络钓鱼预防到事件响应。 但利用谷歌的法学硕士通过查找和修补漏洞来保护其代码库的能力——并最终减少或消除需要修补的漏洞数量——是他们人工智能安全愿望清单中的首要任务。
谷歌人工智能驱动的修补实验
在最近的一项实验中,Bursztein 的团队从 Google 代码库中编译了 1,000 个简单漏洞,这些漏洞是由 C/C++ 清理程序发现的。
然后,他们要求基于 Gemini 的人工智能模型(类似于 Google 公开的 Gemini Pro)来生成和测试补丁,并确定最佳的补丁供人工审核。 在技术上 报告研究人员 Jan Nowakowski 和 Jan Keller 表示,实验的提示遵循以下一般结构:
您是一名高级软件工程师,负责修复清理程序错误。 请修复它们。
… 代码
// 请修复
错误源自这里。 … 堆栈跟踪指向的 LOC
… 代码
工程师们审查了人工智能生成的补丁——Bursztein 称这项工作意义重大且耗时——最终批准了 15% 并将其添加到谷歌的代码库中。
Nowakowski 和 Keller 写道:“软件工程师不再平均花费两个小时来创建每个提交,现在只需几秒钟即可自动创建必要的补丁。”
而且,考虑到每年发现的数千个错误,他们指出,即使是一小部分自动查找修复程序也可能节省数月的工程时间和精力。
该模型显示了对代码和编码原则的理解,令人印象深刻。
埃利·布尔斯坦Google DeepMind 网络安全技术和研究主管
人工智能驱动的补丁获胜
Bursztein 在 RSAC 演讲中表示,人工智能修补实验的结果表明谷歌研究人员走在正确的道路上。 “该模型显示了对代码和编码原则的理解,令人印象深刻,”他说。
例如,在一个实例中,法学硕士通过添加互斥体正确识别并修复了竞争条件。
Bursztein 表示:“理解竞争条件这一概念并非易事。”他补充说,该模型还能够通过消除指针的使用来修复一些数据泄漏。 “所以,在某种程度上,它几乎就是在写作。”
人工智能驱动的修补挑战
尽管人工智能修补实验的结果很有希望,但 Bursztein 警告说,这项技术距离谷歌希望有一天看到的目标还很远——可靠、自主地修复 90%-95% 的错误。 “我们还有很长的路要走,”他说。
该实验强调了以下重大挑战:
- 复杂。 研究人员发现,人工智能似乎比其他类型更擅长修复某些类型的错误——通常是那些线路较少的错误。
- 验证。 人工智能建议修复的验证过程仍然很复杂,需要人工干预,其中人类操作员确保补丁解决了有问题的漏洞,而不破坏生产中的任何内容。
- 数据集创建和模型训练。 根据 Bursztein 的说法,在一个有问题的行为实例中,人工智能注释掉了一个错误,但同时也删除了这个过程中的代码。 “问题解决了!” 布尔斯坦说。 “除了有趣之外,这还向你展示了这将是多么困难。”
他补充说,为了训练人工智能摆脱这种行为,需要具有数千个基准的数据集,每个基准都评估漏洞是否已修复以及程序功能是否保持完整。 Bursztein 预测,创建这些将对整个网络安全社区构成挑战。
尽管存在这些困难,他仍然乐观地认为人工智能有一天可能会自动驱动错误发现和补丁管理,缩小漏洞窗口,直到它们几乎消失。
“我们如何实现这一目标将会很有趣,”布尔斯坦说。 “但好处是巨大的,所以我希望我们能够实现这一目标。”
Alissa Irei 是 TechTarget Security 的高级网站编辑。
1715973979
#人工智能驱动的补丁如何改变网络安全
2024-05-17 12:30:00
