软件缺陷可能需要数月甚至数年才能显现。人工智能漏洞发现技术有望加快漏洞的发现速度。新型人工智能系统发现漏洞的速度之快,可能令开发人员都难以匹敌。
《华尔街日报》近期报道指出,人工智能模型可以扫描大型代码库,并在某些情况下生成可用的漏洞利用程序。例如,OpenBSD 系统中的一个漏洞就隐藏了 27 年之久,直到人工智能工具的帮助才将其发现。
据《华尔街日报》报道,人工智能识别出的一些漏洞在不到一天的时间内就被转化为可用的攻击手段,这使得团队几乎没有时间评估其影响并在发布补丁之前测试修复方案。
人工智能有可能大幅缩短利用漏洞的时间线。过去以周计算的竞赛,现在有时只需几个小时就能结束。
人工智能结合了多个步骤,扫描代码以发现漏洞并提出可能的利用方式。有些人工智能甚至可以生成概念验证攻击代码。从检测到漏洞到成功利用漏洞的速度是安全专家关注的重点之一。帮助开发者发现漏洞的工具,同样也能降低攻击者的攻击门槛。
开源维护者面临巨大压力
依赖小型维护团队的项目正面临越来越多的漏洞和问题报告,其中一些是由人工智能工具生成或辅助发现的。由于每个报告在修复前仍需经过审核和验证,因此如此庞大的数量难以管理。误报也加重了维护负担。
维护者们也面临着用户期望的变化。当 bug 被发现得更快时,用户也期望 bug 能得到同样迅速的修复。但这并不总是现实的,尤其对于志愿者驱动的项目而言。
其结果是,安全问题的发现速度与响应速度之间可能出现越来越大的差距。随着时间的推移,这种差距会演变成已知但未解决的问题积压——许多团队已经将这些问题称为“安全债务”。团队必须决定优先解决哪些问题,如何处理大量的报告,以及如何避免开发人员和安全人员过度劳累。
一些团队在防御方面采用人工智能工具,以确定漏洞优先级、提出补丁建议并自动化部分测试和验证工作。但人工智能工具可能会引入新的错误,而且需要人工监督。人工审核仍然是流程中至关重要的一环。
人工智能辅助安全管道
团队不再将安全视为独立步骤,而是开始将其集成到开发流程中。这包括在开发过程中进行持续扫描,以及在构建和部署过程中进行自动化检查。这也意味着开发人员能够更快地获得反馈。
人工智能驱动的缺陷发现并不意味着开发者失去了控制权,但它确实改变了他们的工作环境。更快的发现速度意味着更少的反应时间和更多的问题需要处理。这也引发了关于责任归属的问题。如果使用人工智能工具来查找或修复缺陷,那么当出现问题时,谁该承担责任?
