LLMs: Ein (im) vollkommen menschlicher Ansatz für sicheres Programmieren?
Eine Version dieses Artikels erschien in Dunkle Lektüre. Es wurde hier aktualisiert und syndiziert.
Seit dem ersten Hype um die neuesten, kulturerschütternden KI-Tools haben Entwickler und Programmierer sie gleichermaßen verwendet, um Code auf Knopfdruck zu generieren. Sicherheitsexperten wiesen schnell darauf hin, dass der erzeugte Code in vielen Fällen schlechte Qualität und anfälligund könnte in den Händen von Personen mit geringem Sicherheitsbewusstsein zu einer Lawine unsicherer Apps und Webentwicklung führen, die ahnungslose Verbraucher trifft.
Und dann gibt es diejenigen, die genug Sicherheitswissen haben, um es für, naja, das Böse zu nutzen. Für jede überwältigende KI-Leistung scheint es einen Gegenschlag zu geben, bei dem dieselbe Technologie eingesetzt wird schändliche Zwecke. Phishing, gefälschte Betrugsvideos, Malware-Erstellung, allgemeine Script-Kiddie-Spielereien... diese störenden Aktivitäten sind viel schneller und mit niedrigeren Eintrittsbarrieren realisierbar.
Es gibt sicherlich eine Menge Clickbait, die dieses Tool als revolutionär anpreisen oder sich zumindest durchsetzen, wenn es mit „durchschnittlichen“ menschlichen Fähigkeiten verglichen wird. Es scheint zwar unvermeidlich, dass KI-Technologie im LLM-Stil die Art und Weise verändern wird, wie wir an viele Aspekte der Arbeit herangehen — nicht nur an die Softwareentwicklung —, aber wir müssen einen Schritt zurücktreten und die Risiken berücksichtigen, die hinter den Schlagzeilen liegen.
Und als Begleiter beim Programmieren sind seine Fehler vielleicht das „menschlichste“ Merkmal.
Schlechte Codierungsmuster dominieren seine bevorzugten Lösungen
Da ChatGPT auf jahrzehntelangen Code- und Wissensdatenbanken trainiert wurde, ist es keine Überraschung, dass auch ChatGPT trotz all seiner Wunder und Geheimnisse unter den gleichen häufigen Fallstricken leidet, mit denen Menschen beim Navigieren im Code konfrontiert sind. Schlechte Codierungsmuster sind die erste Wahl, und es bedarf immer noch eines sicherheitsbewussten Treibers, um sichere Codierungsbeispiele zu generieren, indem er die richtigen Fragen stellt und die richtige schnelle technische Umsetzung liefert.
Selbst dann gibt es keine Garantie dafür, dass die angegebenen Codeschnipsel aus Sicherheitsgründen korrekt und funktionsfähig sind; die Technologie neigt sogar zu Halluzinationen Erstellung nicht existierender Bibliotheken wenn er gebeten wird, bestimmte JSON-Operationen auszuführen, wie von Mike Shema entdeckt. Dies könnte zu einer „Halluzination“ der Bedrohungsakteure führen, die nur allzu gerne Malware entwickeln würden, getarnt als die fabrizierte Bibliothek, die mit vollem Vertrauen von ChatGPT empfohlen wird.
Letztlich müssen wir uns der Realität stellen, dass wir im Allgemeinen nicht erwartet haben, dass Entwickler ausreichend sicherheitsbewusst sind, und dass wir sie als Branche auch nicht angemessen darauf vorbereitet haben, sicheren Code als Standardzustand zu schreiben. Dies wird sich in der enormen Menge an Trainingsdaten zeigen, die in ChatGPT eingespeist werden, und wir können zumindest anfänglich mit ähnlich schwachen Sicherheitsergebnissen rechnen. Entwickler müssten in der Lage sein, die Sicherheitslücken zu identifizieren und sie entweder selbst zu beheben oder bessere Eingabeaufforderungen zu entwerfen, um ein robusteres Ergebnis zu erzielen.
Der erste groß angelegte Nutzerstudie Die Untersuchung, wie Benutzer mit einem KI-Programmierassistenten interagieren, um eine Vielzahl von sicherheitsrelevanten Funktionen zu lösen — durchgeführt von Forschern der Stanford University — unterstützt diese Annahme, wobei eine Beobachtung zu dem Schluss kommt:
“Wir beobachteten, dass Teilnehmer, die Zugriff auf den KI-Assistenten hatten, bei den meisten Programmieraufgaben mit größerer Wahrscheinlichkeit Sicherheitslücken einführten, ihre unsicheren Antworten jedoch auch eher als sicher einstuften als diejenigen in unserer Kontrollgruppe..“
Dies spricht für ein gewisses Maß an Vertrauen in die Ergebnisse von KI-Codierungstools, da sie Code produzieren, der immer inhärent sicher ist, obwohl dies in Wirklichkeit nicht der Fall ist.
Angesichts dessen und der unvermeidlichen KI-gestützten Bedrohungen, die unsere Zukunft durchdringen werden, müssen Entwickler heute mehr denn je ihre Sicherheitsfähigkeiten verbessern und die Messlatte für die Codequalität höher legen, unabhängig von ihrer Herkunft.
Der Weg zu einer Datenschutzverletzung ist mit guten Vorsätzen gepflastert
Es sollte nicht überraschen, dass KI-Programmierbegleiter beliebt sind, zumal Entwickler mit zunehmender Verantwortung und immer engeren Fristen konfrontiert sind und die Ambitionen der Innovation eines Unternehmens auf ihren Schultern ruhen. Doch selbst mit den besten Absichten führt ein Mangel an umsetzbarem Sicherheitsbewusstsein beim Einsatz von KI zum Programmieren unweigerlich zu eklatanten Sicherheitsproblemen. Alle Entwickler mit KI/ML-Tools werden mehr Code generieren, und das Ausmaß des Sicherheitsrisikos hängt von ihrem Qualifikationsniveau ab. Unternehmen müssen sich darüber im Klaren sein, dass ungeschulte Mitarbeiter sicherlich schneller Code generieren, aber auch die Geschwindigkeit, mit der sie technische Sicherheitsschulden eingehen, erhöhen werden.
Sogar unser vorläufiger Test (April 2023) mit ChatGPT hat ergeben, dass es zu sehr grundlegenden Fehlern kommen wird, die verheerende Folgen haben könnten. Als wir es baten, eine Login-Routine in PHP mithilfe einer MySQL-Datenbank zu erstellen, wurde schnell funktionaler Code generiert. Es speicherte jedoch standardmäßig Passwörter im Klartext in einer Datenbank, speicherte die Anmeldeinformationen für die Datenbankverbindung im Code und verwendete ein Codierungsmuster, das zu einer SQL-Injektion führen konnte (obwohl es die Eingabeparameter bis zu einem gewissen Grad filterte und Datenbankfehler ausspuckte). Alles Anfängerfehler, egal in welcher Hinsicht:
Durch weitere Eingabeaufforderungen wurde sichergestellt, dass die Fehler behoben wurden, aber für die Kurskorrektur sind umfangreiche Sicherheitskenntnisse erforderlich. Ein unkontrollierter und weit verbreiteter Einsatz dieser Tools ist nicht besser, als Nachwuchsentwickler für Ihre Projekte zu gewinnen. Und wenn dieser Code sensible Infrastrukturen aufbaut oder personenbezogene Daten verarbeitet, haben wir es mit einer tickenden Zeitbombe zu tun.
Natürlich gehen wir davon aus, dass sich die KI/ML-Fähigkeiten verbessern werden, genau wie junge Entwickler ihre Fähigkeiten im Laufe der Zeit zweifellos verbessern werden. In einem Jahr wird es vielleicht nicht mehr so offensichtliche und einfache Sicherheitsfehler machen. Dies wird jedoch dazu führen, dass das Sicherheitswissen, das erforderlich ist, um die schwerwiegenderen, versteckten, nicht trivialen Sicherheitsfehler aufzuspüren, die immer noch zu verursachen drohen, drastisch erweitert werden.
Wir sind nach wie vor schlecht darauf vorbereitet, Sicherheitslücken zu finden und zu beheben, und KI vergrößert die Lücke
Zwar ist zu diesem Zeitpunkt seit vielen Jahren viel von einem „Linksruck“ die Rede, doch Tatsache ist, dass in den meisten Unternehmen in der Entwicklungskohorte ein erheblicher Mangel an praktischem Sicherheitswissen besteht, und wir müssen härter daran arbeiten, ihnen die richtigen Tools und Schulungen zur Verfügung zu stellen, die ihnen auf ihrem Weg helfen.
So wie es aussieht, sind wir nicht auf die Sicherheitslücken vorbereitet, an die wir gewöhnt sind, ganz zu schweigen von den neuen KI-bedingten Problemen wie Prompt Injection und Halluzination Squatting, die völlig neue Angriffsvektoren darstellen, die wie ein Lauffeuer abheben werden. KI-Programmierwerkzeuge stellen zwar die Zukunft des Programmierwaffenarsenals von Entwicklern dar, aber die Ausbildung zum sicheren Umgang mit diesen Produktivitätswaffen muss jetzt erfolgen.
.png)
Es scheint zwar unvermeidlich, dass die KI-Technologie im LLM-Stil die Art und Weise verändern wird, wie wir viele Aspekte der Arbeit angehen — nicht nur die Softwareentwicklung —, aber wir müssen einen Schritt zurücktreten und die Risiken berücksichtigen, die hinter den Schlagzeilen stehen. Und als Begleiter beim Programmieren sind ihre Schwächen vielleicht das „menschlichste“ Merkmal.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Eine Version dieses Artikels erschien in Dunkle Lektüre. Es wurde hier aktualisiert und syndiziert.
Seit dem ersten Hype um die neuesten, kulturerschütternden KI-Tools haben Entwickler und Programmierer sie gleichermaßen verwendet, um Code auf Knopfdruck zu generieren. Sicherheitsexperten wiesen schnell darauf hin, dass der erzeugte Code in vielen Fällen schlechte Qualität und anfälligund könnte in den Händen von Personen mit geringem Sicherheitsbewusstsein zu einer Lawine unsicherer Apps und Webentwicklung führen, die ahnungslose Verbraucher trifft.
Und dann gibt es diejenigen, die genug Sicherheitswissen haben, um es für, naja, das Böse zu nutzen. Für jede überwältigende KI-Leistung scheint es einen Gegenschlag zu geben, bei dem dieselbe Technologie eingesetzt wird schändliche Zwecke. Phishing, gefälschte Betrugsvideos, Malware-Erstellung, allgemeine Script-Kiddie-Spielereien... diese störenden Aktivitäten sind viel schneller und mit niedrigeren Eintrittsbarrieren realisierbar.
Es gibt sicherlich eine Menge Clickbait, die dieses Tool als revolutionär anpreisen oder sich zumindest durchsetzen, wenn es mit „durchschnittlichen“ menschlichen Fähigkeiten verglichen wird. Es scheint zwar unvermeidlich, dass KI-Technologie im LLM-Stil die Art und Weise verändern wird, wie wir an viele Aspekte der Arbeit herangehen — nicht nur an die Softwareentwicklung —, aber wir müssen einen Schritt zurücktreten und die Risiken berücksichtigen, die hinter den Schlagzeilen liegen.
Und als Begleiter beim Programmieren sind seine Fehler vielleicht das „menschlichste“ Merkmal.
Schlechte Codierungsmuster dominieren seine bevorzugten Lösungen
Da ChatGPT auf jahrzehntelangen Code- und Wissensdatenbanken trainiert wurde, ist es keine Überraschung, dass auch ChatGPT trotz all seiner Wunder und Geheimnisse unter den gleichen häufigen Fallstricken leidet, mit denen Menschen beim Navigieren im Code konfrontiert sind. Schlechte Codierungsmuster sind die erste Wahl, und es bedarf immer noch eines sicherheitsbewussten Treibers, um sichere Codierungsbeispiele zu generieren, indem er die richtigen Fragen stellt und die richtige schnelle technische Umsetzung liefert.
Selbst dann gibt es keine Garantie dafür, dass die angegebenen Codeschnipsel aus Sicherheitsgründen korrekt und funktionsfähig sind; die Technologie neigt sogar zu Halluzinationen Erstellung nicht existierender Bibliotheken wenn er gebeten wird, bestimmte JSON-Operationen auszuführen, wie von Mike Shema entdeckt. Dies könnte zu einer „Halluzination“ der Bedrohungsakteure führen, die nur allzu gerne Malware entwickeln würden, getarnt als die fabrizierte Bibliothek, die mit vollem Vertrauen von ChatGPT empfohlen wird.
Letztlich müssen wir uns der Realität stellen, dass wir im Allgemeinen nicht erwartet haben, dass Entwickler ausreichend sicherheitsbewusst sind, und dass wir sie als Branche auch nicht angemessen darauf vorbereitet haben, sicheren Code als Standardzustand zu schreiben. Dies wird sich in der enormen Menge an Trainingsdaten zeigen, die in ChatGPT eingespeist werden, und wir können zumindest anfänglich mit ähnlich schwachen Sicherheitsergebnissen rechnen. Entwickler müssten in der Lage sein, die Sicherheitslücken zu identifizieren und sie entweder selbst zu beheben oder bessere Eingabeaufforderungen zu entwerfen, um ein robusteres Ergebnis zu erzielen.
Der erste groß angelegte Nutzerstudie Die Untersuchung, wie Benutzer mit einem KI-Programmierassistenten interagieren, um eine Vielzahl von sicherheitsrelevanten Funktionen zu lösen — durchgeführt von Forschern der Stanford University — unterstützt diese Annahme, wobei eine Beobachtung zu dem Schluss kommt:
“Wir beobachteten, dass Teilnehmer, die Zugriff auf den KI-Assistenten hatten, bei den meisten Programmieraufgaben mit größerer Wahrscheinlichkeit Sicherheitslücken einführten, ihre unsicheren Antworten jedoch auch eher als sicher einstuften als diejenigen in unserer Kontrollgruppe..“
Dies spricht für ein gewisses Maß an Vertrauen in die Ergebnisse von KI-Codierungstools, da sie Code produzieren, der immer inhärent sicher ist, obwohl dies in Wirklichkeit nicht der Fall ist.
Angesichts dessen und der unvermeidlichen KI-gestützten Bedrohungen, die unsere Zukunft durchdringen werden, müssen Entwickler heute mehr denn je ihre Sicherheitsfähigkeiten verbessern und die Messlatte für die Codequalität höher legen, unabhängig von ihrer Herkunft.
Der Weg zu einer Datenschutzverletzung ist mit guten Vorsätzen gepflastert
Es sollte nicht überraschen, dass KI-Programmierbegleiter beliebt sind, zumal Entwickler mit zunehmender Verantwortung und immer engeren Fristen konfrontiert sind und die Ambitionen der Innovation eines Unternehmens auf ihren Schultern ruhen. Doch selbst mit den besten Absichten führt ein Mangel an umsetzbarem Sicherheitsbewusstsein beim Einsatz von KI zum Programmieren unweigerlich zu eklatanten Sicherheitsproblemen. Alle Entwickler mit KI/ML-Tools werden mehr Code generieren, und das Ausmaß des Sicherheitsrisikos hängt von ihrem Qualifikationsniveau ab. Unternehmen müssen sich darüber im Klaren sein, dass ungeschulte Mitarbeiter sicherlich schneller Code generieren, aber auch die Geschwindigkeit, mit der sie technische Sicherheitsschulden eingehen, erhöhen werden.
Sogar unser vorläufiger Test (April 2023) mit ChatGPT hat ergeben, dass es zu sehr grundlegenden Fehlern kommen wird, die verheerende Folgen haben könnten. Als wir es baten, eine Login-Routine in PHP mithilfe einer MySQL-Datenbank zu erstellen, wurde schnell funktionaler Code generiert. Es speicherte jedoch standardmäßig Passwörter im Klartext in einer Datenbank, speicherte die Anmeldeinformationen für die Datenbankverbindung im Code und verwendete ein Codierungsmuster, das zu einer SQL-Injektion führen konnte (obwohl es die Eingabeparameter bis zu einem gewissen Grad filterte und Datenbankfehler ausspuckte). Alles Anfängerfehler, egal in welcher Hinsicht:
Durch weitere Eingabeaufforderungen wurde sichergestellt, dass die Fehler behoben wurden, aber für die Kurskorrektur sind umfangreiche Sicherheitskenntnisse erforderlich. Ein unkontrollierter und weit verbreiteter Einsatz dieser Tools ist nicht besser, als Nachwuchsentwickler für Ihre Projekte zu gewinnen. Und wenn dieser Code sensible Infrastrukturen aufbaut oder personenbezogene Daten verarbeitet, haben wir es mit einer tickenden Zeitbombe zu tun.
Natürlich gehen wir davon aus, dass sich die KI/ML-Fähigkeiten verbessern werden, genau wie junge Entwickler ihre Fähigkeiten im Laufe der Zeit zweifellos verbessern werden. In einem Jahr wird es vielleicht nicht mehr so offensichtliche und einfache Sicherheitsfehler machen. Dies wird jedoch dazu führen, dass das Sicherheitswissen, das erforderlich ist, um die schwerwiegenderen, versteckten, nicht trivialen Sicherheitsfehler aufzuspüren, die immer noch zu verursachen drohen, drastisch erweitert werden.
Wir sind nach wie vor schlecht darauf vorbereitet, Sicherheitslücken zu finden und zu beheben, und KI vergrößert die Lücke
Zwar ist zu diesem Zeitpunkt seit vielen Jahren viel von einem „Linksruck“ die Rede, doch Tatsache ist, dass in den meisten Unternehmen in der Entwicklungskohorte ein erheblicher Mangel an praktischem Sicherheitswissen besteht, und wir müssen härter daran arbeiten, ihnen die richtigen Tools und Schulungen zur Verfügung zu stellen, die ihnen auf ihrem Weg helfen.
So wie es aussieht, sind wir nicht auf die Sicherheitslücken vorbereitet, an die wir gewöhnt sind, ganz zu schweigen von den neuen KI-bedingten Problemen wie Prompt Injection und Halluzination Squatting, die völlig neue Angriffsvektoren darstellen, die wie ein Lauffeuer abheben werden. KI-Programmierwerkzeuge stellen zwar die Zukunft des Programmierwaffenarsenals von Entwicklern dar, aber die Ausbildung zum sicheren Umgang mit diesen Produktivitätswaffen muss jetzt erfolgen.
Eine Version dieses Artikels erschien in Dunkle Lektüre. Es wurde hier aktualisiert und syndiziert.
Seit dem ersten Hype um die neuesten, kulturerschütternden KI-Tools haben Entwickler und Programmierer sie gleichermaßen verwendet, um Code auf Knopfdruck zu generieren. Sicherheitsexperten wiesen schnell darauf hin, dass der erzeugte Code in vielen Fällen schlechte Qualität und anfälligund könnte in den Händen von Personen mit geringem Sicherheitsbewusstsein zu einer Lawine unsicherer Apps und Webentwicklung führen, die ahnungslose Verbraucher trifft.
Und dann gibt es diejenigen, die genug Sicherheitswissen haben, um es für, naja, das Böse zu nutzen. Für jede überwältigende KI-Leistung scheint es einen Gegenschlag zu geben, bei dem dieselbe Technologie eingesetzt wird schändliche Zwecke. Phishing, gefälschte Betrugsvideos, Malware-Erstellung, allgemeine Script-Kiddie-Spielereien... diese störenden Aktivitäten sind viel schneller und mit niedrigeren Eintrittsbarrieren realisierbar.
Es gibt sicherlich eine Menge Clickbait, die dieses Tool als revolutionär anpreisen oder sich zumindest durchsetzen, wenn es mit „durchschnittlichen“ menschlichen Fähigkeiten verglichen wird. Es scheint zwar unvermeidlich, dass KI-Technologie im LLM-Stil die Art und Weise verändern wird, wie wir an viele Aspekte der Arbeit herangehen — nicht nur an die Softwareentwicklung —, aber wir müssen einen Schritt zurücktreten und die Risiken berücksichtigen, die hinter den Schlagzeilen liegen.
Und als Begleiter beim Programmieren sind seine Fehler vielleicht das „menschlichste“ Merkmal.
Schlechte Codierungsmuster dominieren seine bevorzugten Lösungen
Da ChatGPT auf jahrzehntelangen Code- und Wissensdatenbanken trainiert wurde, ist es keine Überraschung, dass auch ChatGPT trotz all seiner Wunder und Geheimnisse unter den gleichen häufigen Fallstricken leidet, mit denen Menschen beim Navigieren im Code konfrontiert sind. Schlechte Codierungsmuster sind die erste Wahl, und es bedarf immer noch eines sicherheitsbewussten Treibers, um sichere Codierungsbeispiele zu generieren, indem er die richtigen Fragen stellt und die richtige schnelle technische Umsetzung liefert.
Selbst dann gibt es keine Garantie dafür, dass die angegebenen Codeschnipsel aus Sicherheitsgründen korrekt und funktionsfähig sind; die Technologie neigt sogar zu Halluzinationen Erstellung nicht existierender Bibliotheken wenn er gebeten wird, bestimmte JSON-Operationen auszuführen, wie von Mike Shema entdeckt. Dies könnte zu einer „Halluzination“ der Bedrohungsakteure führen, die nur allzu gerne Malware entwickeln würden, getarnt als die fabrizierte Bibliothek, die mit vollem Vertrauen von ChatGPT empfohlen wird.
Letztlich müssen wir uns der Realität stellen, dass wir im Allgemeinen nicht erwartet haben, dass Entwickler ausreichend sicherheitsbewusst sind, und dass wir sie als Branche auch nicht angemessen darauf vorbereitet haben, sicheren Code als Standardzustand zu schreiben. Dies wird sich in der enormen Menge an Trainingsdaten zeigen, die in ChatGPT eingespeist werden, und wir können zumindest anfänglich mit ähnlich schwachen Sicherheitsergebnissen rechnen. Entwickler müssten in der Lage sein, die Sicherheitslücken zu identifizieren und sie entweder selbst zu beheben oder bessere Eingabeaufforderungen zu entwerfen, um ein robusteres Ergebnis zu erzielen.
Der erste groß angelegte Nutzerstudie Die Untersuchung, wie Benutzer mit einem KI-Programmierassistenten interagieren, um eine Vielzahl von sicherheitsrelevanten Funktionen zu lösen — durchgeführt von Forschern der Stanford University — unterstützt diese Annahme, wobei eine Beobachtung zu dem Schluss kommt:
“Wir beobachteten, dass Teilnehmer, die Zugriff auf den KI-Assistenten hatten, bei den meisten Programmieraufgaben mit größerer Wahrscheinlichkeit Sicherheitslücken einführten, ihre unsicheren Antworten jedoch auch eher als sicher einstuften als diejenigen in unserer Kontrollgruppe..“
Dies spricht für ein gewisses Maß an Vertrauen in die Ergebnisse von KI-Codierungstools, da sie Code produzieren, der immer inhärent sicher ist, obwohl dies in Wirklichkeit nicht der Fall ist.
Angesichts dessen und der unvermeidlichen KI-gestützten Bedrohungen, die unsere Zukunft durchdringen werden, müssen Entwickler heute mehr denn je ihre Sicherheitsfähigkeiten verbessern und die Messlatte für die Codequalität höher legen, unabhängig von ihrer Herkunft.
Der Weg zu einer Datenschutzverletzung ist mit guten Vorsätzen gepflastert
Es sollte nicht überraschen, dass KI-Programmierbegleiter beliebt sind, zumal Entwickler mit zunehmender Verantwortung und immer engeren Fristen konfrontiert sind und die Ambitionen der Innovation eines Unternehmens auf ihren Schultern ruhen. Doch selbst mit den besten Absichten führt ein Mangel an umsetzbarem Sicherheitsbewusstsein beim Einsatz von KI zum Programmieren unweigerlich zu eklatanten Sicherheitsproblemen. Alle Entwickler mit KI/ML-Tools werden mehr Code generieren, und das Ausmaß des Sicherheitsrisikos hängt von ihrem Qualifikationsniveau ab. Unternehmen müssen sich darüber im Klaren sein, dass ungeschulte Mitarbeiter sicherlich schneller Code generieren, aber auch die Geschwindigkeit, mit der sie technische Sicherheitsschulden eingehen, erhöhen werden.
Sogar unser vorläufiger Test (April 2023) mit ChatGPT hat ergeben, dass es zu sehr grundlegenden Fehlern kommen wird, die verheerende Folgen haben könnten. Als wir es baten, eine Login-Routine in PHP mithilfe einer MySQL-Datenbank zu erstellen, wurde schnell funktionaler Code generiert. Es speicherte jedoch standardmäßig Passwörter im Klartext in einer Datenbank, speicherte die Anmeldeinformationen für die Datenbankverbindung im Code und verwendete ein Codierungsmuster, das zu einer SQL-Injektion führen konnte (obwohl es die Eingabeparameter bis zu einem gewissen Grad filterte und Datenbankfehler ausspuckte). Alles Anfängerfehler, egal in welcher Hinsicht:
Durch weitere Eingabeaufforderungen wurde sichergestellt, dass die Fehler behoben wurden, aber für die Kurskorrektur sind umfangreiche Sicherheitskenntnisse erforderlich. Ein unkontrollierter und weit verbreiteter Einsatz dieser Tools ist nicht besser, als Nachwuchsentwickler für Ihre Projekte zu gewinnen. Und wenn dieser Code sensible Infrastrukturen aufbaut oder personenbezogene Daten verarbeitet, haben wir es mit einer tickenden Zeitbombe zu tun.
Natürlich gehen wir davon aus, dass sich die KI/ML-Fähigkeiten verbessern werden, genau wie junge Entwickler ihre Fähigkeiten im Laufe der Zeit zweifellos verbessern werden. In einem Jahr wird es vielleicht nicht mehr so offensichtliche und einfache Sicherheitsfehler machen. Dies wird jedoch dazu führen, dass das Sicherheitswissen, das erforderlich ist, um die schwerwiegenderen, versteckten, nicht trivialen Sicherheitsfehler aufzuspüren, die immer noch zu verursachen drohen, drastisch erweitert werden.
Wir sind nach wie vor schlecht darauf vorbereitet, Sicherheitslücken zu finden und zu beheben, und KI vergrößert die Lücke
Zwar ist zu diesem Zeitpunkt seit vielen Jahren viel von einem „Linksruck“ die Rede, doch Tatsache ist, dass in den meisten Unternehmen in der Entwicklungskohorte ein erheblicher Mangel an praktischem Sicherheitswissen besteht, und wir müssen härter daran arbeiten, ihnen die richtigen Tools und Schulungen zur Verfügung zu stellen, die ihnen auf ihrem Weg helfen.
So wie es aussieht, sind wir nicht auf die Sicherheitslücken vorbereitet, an die wir gewöhnt sind, ganz zu schweigen von den neuen KI-bedingten Problemen wie Prompt Injection und Halluzination Squatting, die völlig neue Angriffsvektoren darstellen, die wie ein Lauffeuer abheben werden. KI-Programmierwerkzeuge stellen zwar die Zukunft des Programmierwaffenarsenals von Entwicklern dar, aber die Ausbildung zum sicheren Umgang mit diesen Produktivitätswaffen muss jetzt erfolgen.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Eine Version dieses Artikels erschien in Dunkle Lektüre. Es wurde hier aktualisiert und syndiziert.
Seit dem ersten Hype um die neuesten, kulturerschütternden KI-Tools haben Entwickler und Programmierer sie gleichermaßen verwendet, um Code auf Knopfdruck zu generieren. Sicherheitsexperten wiesen schnell darauf hin, dass der erzeugte Code in vielen Fällen schlechte Qualität und anfälligund könnte in den Händen von Personen mit geringem Sicherheitsbewusstsein zu einer Lawine unsicherer Apps und Webentwicklung führen, die ahnungslose Verbraucher trifft.
Und dann gibt es diejenigen, die genug Sicherheitswissen haben, um es für, naja, das Böse zu nutzen. Für jede überwältigende KI-Leistung scheint es einen Gegenschlag zu geben, bei dem dieselbe Technologie eingesetzt wird schändliche Zwecke. Phishing, gefälschte Betrugsvideos, Malware-Erstellung, allgemeine Script-Kiddie-Spielereien... diese störenden Aktivitäten sind viel schneller und mit niedrigeren Eintrittsbarrieren realisierbar.
Es gibt sicherlich eine Menge Clickbait, die dieses Tool als revolutionär anpreisen oder sich zumindest durchsetzen, wenn es mit „durchschnittlichen“ menschlichen Fähigkeiten verglichen wird. Es scheint zwar unvermeidlich, dass KI-Technologie im LLM-Stil die Art und Weise verändern wird, wie wir an viele Aspekte der Arbeit herangehen — nicht nur an die Softwareentwicklung —, aber wir müssen einen Schritt zurücktreten und die Risiken berücksichtigen, die hinter den Schlagzeilen liegen.
Und als Begleiter beim Programmieren sind seine Fehler vielleicht das „menschlichste“ Merkmal.
Schlechte Codierungsmuster dominieren seine bevorzugten Lösungen
Da ChatGPT auf jahrzehntelangen Code- und Wissensdatenbanken trainiert wurde, ist es keine Überraschung, dass auch ChatGPT trotz all seiner Wunder und Geheimnisse unter den gleichen häufigen Fallstricken leidet, mit denen Menschen beim Navigieren im Code konfrontiert sind. Schlechte Codierungsmuster sind die erste Wahl, und es bedarf immer noch eines sicherheitsbewussten Treibers, um sichere Codierungsbeispiele zu generieren, indem er die richtigen Fragen stellt und die richtige schnelle technische Umsetzung liefert.
Selbst dann gibt es keine Garantie dafür, dass die angegebenen Codeschnipsel aus Sicherheitsgründen korrekt und funktionsfähig sind; die Technologie neigt sogar zu Halluzinationen Erstellung nicht existierender Bibliotheken wenn er gebeten wird, bestimmte JSON-Operationen auszuführen, wie von Mike Shema entdeckt. Dies könnte zu einer „Halluzination“ der Bedrohungsakteure führen, die nur allzu gerne Malware entwickeln würden, getarnt als die fabrizierte Bibliothek, die mit vollem Vertrauen von ChatGPT empfohlen wird.
Letztlich müssen wir uns der Realität stellen, dass wir im Allgemeinen nicht erwartet haben, dass Entwickler ausreichend sicherheitsbewusst sind, und dass wir sie als Branche auch nicht angemessen darauf vorbereitet haben, sicheren Code als Standardzustand zu schreiben. Dies wird sich in der enormen Menge an Trainingsdaten zeigen, die in ChatGPT eingespeist werden, und wir können zumindest anfänglich mit ähnlich schwachen Sicherheitsergebnissen rechnen. Entwickler müssten in der Lage sein, die Sicherheitslücken zu identifizieren und sie entweder selbst zu beheben oder bessere Eingabeaufforderungen zu entwerfen, um ein robusteres Ergebnis zu erzielen.
Der erste groß angelegte Nutzerstudie Die Untersuchung, wie Benutzer mit einem KI-Programmierassistenten interagieren, um eine Vielzahl von sicherheitsrelevanten Funktionen zu lösen — durchgeführt von Forschern der Stanford University — unterstützt diese Annahme, wobei eine Beobachtung zu dem Schluss kommt:
“Wir beobachteten, dass Teilnehmer, die Zugriff auf den KI-Assistenten hatten, bei den meisten Programmieraufgaben mit größerer Wahrscheinlichkeit Sicherheitslücken einführten, ihre unsicheren Antworten jedoch auch eher als sicher einstuften als diejenigen in unserer Kontrollgruppe..“
Dies spricht für ein gewisses Maß an Vertrauen in die Ergebnisse von KI-Codierungstools, da sie Code produzieren, der immer inhärent sicher ist, obwohl dies in Wirklichkeit nicht der Fall ist.
Angesichts dessen und der unvermeidlichen KI-gestützten Bedrohungen, die unsere Zukunft durchdringen werden, müssen Entwickler heute mehr denn je ihre Sicherheitsfähigkeiten verbessern und die Messlatte für die Codequalität höher legen, unabhängig von ihrer Herkunft.
Der Weg zu einer Datenschutzverletzung ist mit guten Vorsätzen gepflastert
Es sollte nicht überraschen, dass KI-Programmierbegleiter beliebt sind, zumal Entwickler mit zunehmender Verantwortung und immer engeren Fristen konfrontiert sind und die Ambitionen der Innovation eines Unternehmens auf ihren Schultern ruhen. Doch selbst mit den besten Absichten führt ein Mangel an umsetzbarem Sicherheitsbewusstsein beim Einsatz von KI zum Programmieren unweigerlich zu eklatanten Sicherheitsproblemen. Alle Entwickler mit KI/ML-Tools werden mehr Code generieren, und das Ausmaß des Sicherheitsrisikos hängt von ihrem Qualifikationsniveau ab. Unternehmen müssen sich darüber im Klaren sein, dass ungeschulte Mitarbeiter sicherlich schneller Code generieren, aber auch die Geschwindigkeit, mit der sie technische Sicherheitsschulden eingehen, erhöhen werden.
Sogar unser vorläufiger Test (April 2023) mit ChatGPT hat ergeben, dass es zu sehr grundlegenden Fehlern kommen wird, die verheerende Folgen haben könnten. Als wir es baten, eine Login-Routine in PHP mithilfe einer MySQL-Datenbank zu erstellen, wurde schnell funktionaler Code generiert. Es speicherte jedoch standardmäßig Passwörter im Klartext in einer Datenbank, speicherte die Anmeldeinformationen für die Datenbankverbindung im Code und verwendete ein Codierungsmuster, das zu einer SQL-Injektion führen konnte (obwohl es die Eingabeparameter bis zu einem gewissen Grad filterte und Datenbankfehler ausspuckte). Alles Anfängerfehler, egal in welcher Hinsicht:
Durch weitere Eingabeaufforderungen wurde sichergestellt, dass die Fehler behoben wurden, aber für die Kurskorrektur sind umfangreiche Sicherheitskenntnisse erforderlich. Ein unkontrollierter und weit verbreiteter Einsatz dieser Tools ist nicht besser, als Nachwuchsentwickler für Ihre Projekte zu gewinnen. Und wenn dieser Code sensible Infrastrukturen aufbaut oder personenbezogene Daten verarbeitet, haben wir es mit einer tickenden Zeitbombe zu tun.
Natürlich gehen wir davon aus, dass sich die KI/ML-Fähigkeiten verbessern werden, genau wie junge Entwickler ihre Fähigkeiten im Laufe der Zeit zweifellos verbessern werden. In einem Jahr wird es vielleicht nicht mehr so offensichtliche und einfache Sicherheitsfehler machen. Dies wird jedoch dazu führen, dass das Sicherheitswissen, das erforderlich ist, um die schwerwiegenderen, versteckten, nicht trivialen Sicherheitsfehler aufzuspüren, die immer noch zu verursachen drohen, drastisch erweitert werden.
Wir sind nach wie vor schlecht darauf vorbereitet, Sicherheitslücken zu finden und zu beheben, und KI vergrößert die Lücke
Zwar ist zu diesem Zeitpunkt seit vielen Jahren viel von einem „Linksruck“ die Rede, doch Tatsache ist, dass in den meisten Unternehmen in der Entwicklungskohorte ein erheblicher Mangel an praktischem Sicherheitswissen besteht, und wir müssen härter daran arbeiten, ihnen die richtigen Tools und Schulungen zur Verfügung zu stellen, die ihnen auf ihrem Weg helfen.
So wie es aussieht, sind wir nicht auf die Sicherheitslücken vorbereitet, an die wir gewöhnt sind, ganz zu schweigen von den neuen KI-bedingten Problemen wie Prompt Injection und Halluzination Squatting, die völlig neue Angriffsvektoren darstellen, die wie ein Lauffeuer abheben werden. KI-Programmierwerkzeuge stellen zwar die Zukunft des Programmierwaffenarsenals von Entwicklern dar, aber die Ausbildung zum sicheren Umgang mit diesen Produktivitätswaffen muss jetzt erfolgen.
%20(1).avif)
.avif)
