أشار تقرير نشرته اليوم شركة البرمجيات الأمريكية إندور لابس Endor Labs، إلى أن قدرة نماذج اللغات الفائقة (LLMs) -التي تقود الذكاء الاصطناعي التوليدي (AI)- في تحديد مستوى المخاطر التي تمثلها البرامج الضارة هي إلى حد ما محدود.

وجد التقرير أن التقنيات الحالية القائمة على النموذج اللغوي الفائق LLM، مثل شات جي بي تي ChatGPT، يمكنها تصنيف مخاطر البرامج الضارة بدقة في 5٪ فقط من الحالات -وقد لا تتمكن أبدًا من التعرف على الأساليب الجديدة المستخدمة لإنشاء برامج ضارة- وذلك ببساطة لأنه لم يكن هناك وقت كافٍ لتدريب نماذج اللغات الفائقة (LLMs).

قال هنريك بليت Henrik Plate، رئيس قسم الأبحاث الأمنية في إندور لابس: في النهاية، قد يفعل النموج اللغوي الفائق LLM الكثير لمجرمي الإنترنت الذين يستخدمونها لإنشاء أنواع جديدة من البرامج الضارة أكثر مما تفعله للمدافعين.

وجد التقرير، على سبيل المثال، أنه في حين أن 71٪ من كود تطبيق جافا Java النموذجي يأتي من مكونات مفتوحة المصدر، فإن 12٪ فقط من تلك التعليمات البرمجية المستوردة تعمل بالفعل. نادرًا ما تكون الثغرات الأمنية في التعليمات البرمجية غير المستخدمة قابلة للاستغلال، لذلك يمكن للمؤسسات القضاء على 60٪ من أعمال الإصلاح أو إلغاء ترتيبها إذا كان لديها رؤية أوضح للشفرة التي يتم تشغيلها بالفعل في بيئات الإنتاج الخاصة بها.

ومع ذلك، أشار التقرير أيضًا إلى أن المنظمات غالبًا ما تصبح مفرطة الثقة لأنها تفشل في حساب التبعيات لتطبيقها. وجد التقرير أنه على الرغم من عدم وجود مكالمات لواجهات برمجة التطبيقات الحساسة للأمان (APIs) في 45٪ من التطبيقات في قاعدة التعليمات البرمجية الخاصة بهم ، فإن هذه النسبة انخفضت إلى 5٪ عند تضمين التبعيات (البرمجيات والمكتبات التي يعتمد عليها التطبيق).

وجد التقرير أيضًا أن واجهة برمجة تطبيقات شات جي بي تي ChatGPT تُستخدم الآن في تم استخدامها في 900 حزمة برمجية في لغة الجافا سكريبت npm وحزم البرامج في لغة بايثون PyPi. عبر مجموعة من المجالات؛ 75٪ من هذه الحزم جديدة تمامًا.

بشكل عام، يتم إنشاء التبعيات الوظيفية عندما يقوم المطورون بتنزيل مكون تابع لجهة خارجية. أهم شيء يجب على أي فريق تطوير برمجيات تحديده عند تقييم مستويات المخاطر الفعلية التي أنشأتها تلك التبعيات هو تحديد مدى إمكانية الوصول إلى أي ثغرة أمنية معينة للمهاجم بغض النظر عن درجة خطورته.

في أعقاب سلسلة من الانتهاكات البارزة، لحسن الحظ، كان هناك تركيز متزايد على سلاسل توريد البرمجيات. التحدي هو أن معظم المطورين ليس لديهم الكثير من الخبرة في مجال الأمن السيبراني. غالبًا ما يقومون بإنشاء تصحيحات للتطبيقات بناءً على قائمة بالثغرات الأمنية المحتملة التي ظهرت من قبل فرق الأمن السيبراني. وتكمن المشكلة بالطبع في أن مجرد وجود ثغرة أمنية لا يعني دائمًا أنه يمكن الوصول إلى مكون البرنامج المتأثر خارجيًا.

إذا أرادت فرق الأمن السيبراني سد الفجوة القائمة بينها وبين المطورين لسنوات، فعليهم أن يكونوا قادرين على تحديد الكود المطلوب إصلاحه على الفور مقابل التعليمات البرمجية التي يمكن تحديثها في وقت ما في المستقبل في الممارسات والأدوات التي تهدف إلى دمج الأمن في عمليات تطوير البرمجيات وعمليات التشغيل الخاصة بالتطبيقات (DevSecOps). بخلاف ذلك، سيستمر المطورون في تجاهل معظم التنبيهات التي -من وجهة نظرهم- ليست أكثر من مجرد عواء الذئب.

بواسطة مايكل فيزارد | لموقع Security Boulevard