Razvoj softvera danas je brži nego ikad prije i s razvojem raste i broj sigurnosnih problema u aplikacijama i sustavima. Tu uskače umjetna inteligencija koja ipak ubrzava i unaprjeđuje sigurnost procesa.
Najnoviji primjer dolazi iz tvrtke OpenAI, koja je predstavila novi alat pod nazivom Codex Security. Spomenuti AI sustav osmišljen je za analizu softverskog koda i otkrivanje sigurnosnih ranjivosti prije nego što ih napadači mogu iskoristiti.
Ideja iza ovog alata je jednostavna. Naime, razvojni timovi danas rade s ogromnim količinama koda, a sigurnosne provjere često zaostaju za brzinom razvoja.
Codex Security pokušava riješiti problem automatizacijom analize koda i predlaganjem rješenja za otkrivene ranjivosti.
Time OpenAI ulazi u sve važnije područje AI-potpomognute sigurnosti aplikacija, gdje umjetna inteligencija zapravo postaje alat za zaštitu softvera.
Zašto je sigurnost koda izazov?
Moderni softverski projekti mogu sadržavati milijune linija koda i uključivati velik broj različitih biblioteka, servisa i integracija. U takvom okruženju čak i male pogreške mogu stvoriti ozbiljne sigurnosne probleme. Ranjivosti u kodu omogućuju napadačima da dobiju neovlašten pristup sustavima, ukradu osjetljive podatke ili preuzmu kontrolu nad infrastrukturom organizacije.
Sigurnosni timovi redovito provode analize koda, ali taj proces može biti spor i zahtijevati previše stručnog rada.
Tradicionalni alati za analizu generiraju velik broj upozorenja, a sigurnosni stručnjaci zatim moraju ručno provjeravati koja od tih upozorenja predstavljaju stvarne prijetnje.
OpenAI smatra da umjetna inteligencija može ubrzati taj proces. Cilj Codex Securityja je pomoći sigurnosnim timovima da brže identificiraju stvarne ranjivosti i fokusiraju se na probleme koji predstavljaju najveći rizik.
Što je OpenAI Codex Security
Codex Security je AI agent koji automatski analizira softverske projekte kako bi otkrio potencijalne sigurnosne probleme. Alat pregledava repozitorije koda, pokušava identificirati ranjivosti, provjerava jesu li one zaista iskoristive te predlaže konkretna rješenja za njihovo uklanjanje.
Za razliku od klasičnih sigurnosnih alata koji se oslanjaju na unaprijed definirana pravila ili baze poznatih ranjivosti, Codex Security koristi napredne modele umjetne inteligencije kako bi razumio kontekst cijelog projekta. Tako može prepoznati kompleksne sigurnosne probleme koji bi inače mogli proći nezapaženo.
Alat je trenutno dostupan u research preview verziji za korisnike ChatGPT Pro, Enterprise, Business i Edu paketa. OpenAI ga zasad nudi bez dodatne naplate tijekom ograničenog razdoblja, što sugerira da bi u budućnosti mogao postati dio komercijalnih sigurnosnih rješenja.
Od Aardvarka do Codex Security
Codex Security razvijen je iz ranijeg projekta OpenAI-a poznatog pod nazivom Aardvark, koji je bio zamišljen kao autonomni AI sigurnosni istraživač.
Sustav testiran je u privatnoj beta verziji s manjim brojem organizacija, gdje je analizirao velike količine softverskog koda kako bi pronašao sigurnosne ranjivosti.
Rezultati testiranja pokazali su potencijal takvog pristupa.
Tijekom pilot-programa sustav je analizirao više od 1,2 milijuna commitova u repozitorijima koda i identificirao više od 10.500 ozbiljnih sigurnosnih problema, uključujući gotovo 800 kritičnih ranjivosti.
Takvi rezultati potaknuli su OpenAI da projekt razvije u komercijalni sigurnosni alat. Codex Security danas predstavlja evoluciju tog sustava, s poboljšanom analizom konteksta, većom preciznošću i smanjenim brojem lažnih upozorenja.
Kako Codex Security analizira softver
Jedna od važnih razlika između Codex Securityja i tradicionalnih sigurnosnih alata jest način na koji analizira kod. Umjesto da jednostavno traži poznate obrasce ranjivosti, sustav pokušava razumjeti strukturu i logiku cijelog projekta.
Proces analize započinje prikupljanjem informacija o repozitoriju. Sustav analizira arhitekturu aplikacije, komunikaciju između komponenti, ovisnosti o vanjskim bibliotekama i način na koji su različiti dijelovi sustava povezani. Na temelju tih informacija stvara tzv. model prijetnji koji opisuje potencijalne sigurnosne rizike u aplikaciji.
Nakon toga AI traži potencijalne ranjivosti u kodu. Međutim, važan dio procesa je validacija ranjivosti. Ne označi samo problem već pokušava provjeriti može li se ranjivost zaista iskoristiti u stvarnom sustavu.
Ako sustav potvrdi da je riječ o stvarnom problemu, generira prijedlog zakrpe koji pokušava riješiti ranjivost bez narušavanja funkcionalnosti aplikacije.
Prednosti umjetne inteligencije
AI alati poput Codex Securityja imaju nekoliko važnih prednosti u odnosu na tradicionalne sigurnosne alate. Najvažnija među njima je sposobnost analize velikih količina koda u relativno kratkom vremenu. Dok bi ljudskom timu za sigurnost trebalo mnogo vremena da pregledaju kompleksan softverski projekt, AI može provesti analizu gotovo trenutačno.
Druga važna prednost je smanjenje broja lažnih upozorenja. Tradicionalni sigurnosni alati često generiraju velik broj potencijalnih problema, ali mnogi od njih nemaju stvaran sigurnosni utjecaj. Codex Security pokušava smanjiti taj problem validacijom ranjivosti prije nego što ih prijavi sigurnosnom timu.
Treća prednost je mogućnost automatskog generiranja zakrpa. Umjesto da samo identificira problem, AI može predložiti konkretne izmjene koda koje bi trebale ukloniti ranjivost, čime se ubrzava proces popravka.
Sigurnost open-source projekata
OpenAI planira koristiti Codex Security i za poboljšanje sigurnosti open-source softvera.
Mnogi kritični dijelovi internetske infrastrukture oslanjaju se na open-source projekte koje održavaju mali timovi ili čak pojedinci.
Zbog ograničenih resursa takvi projekti ponekad nemaju dovoljno vremena za detaljne sigurnosne provjere.
Tijekom testiranja Codex Securityja identificirani su sigurnosni problemi u nekoliko popularnih open-source projekata, uključujući neke od važnih komponenti modernog interneta. U nekim slučajevima otkrivene ranjivosti dobile su i službene CVE oznake, što znači da su prepoznate kao ozbiljni sigurnosni problemi u industriji.
OpenAI zato planira omogućiti pristup alatu određenim open-source projektima kako bi im pomogao u jačanju sigurnosti.
Sve veća uloga AI-a u cyber sigurnosti
Razvoj Codex Securityja dio je šireg trenda u kojem umjetna inteligencija sve više ulazi u područje cyber sigurnosti. Kako digitalni sustavi postaju složeniji, organizacije traže nove načine za zaštitu aplikacija i infrastrukture.
AI sustavi danas se koriste za različite sigurnosne zadatke, uključujući analizu mrežnog prometa, otkrivanje zlonamjernog softvera i identifikaciju sumnjivih aktivnosti u sustavima.
Analiza koda i otkrivanje ranjivosti samo su jedan dio tog ekosustava.
Istodobno, razvoj umjetne inteligencije ubrzava i sam proces razvoja softvera. Tada sigurnosni timovi moraju pronaći načine da prate tempo razvoja, a AI alati poput Codex Securityja predstavljaju jedan od mogućih odgovora na taj izazov.
Postoje i ograničenja
Iako AI može značajno pomoći u sigurnosnim procesima, stručnjaci upozoravaju da takvi alati ne mogu u potpunosti zamijeniti ljudske sigurnosne stručnjake. Analiza složenih sigurnosnih problema zahtijeva duboko razumijevanje sustava, poslovnih procesa i potencijalnih napadačkih scenarija.
Osim toga, umjetna inteligencija može pogriješiti ili propustiti određene ranjivosti. Napadači također sve više koriste AI za razvoj sofisticiranijih tehnika napada, što znači da se utrka između napadača i obrambenih sustava nastavlja.
Zbog toga mnoge organizacije smatraju da će budućnost cyber sigurnosti biti kombinacija ljudskog znanja i umjetne inteligencije.
