KI verspricht Verbesserung der Anwendungssicherheit

Es ist nicht absehbar, in welchem Ausmaß künstliche Intelligenz (KI) Cybersecurity verbessern könnte, aber es gibt Anlass zu Optimismus. Eine von Evan Data durchgeführte Umfrage unter 3.093 Entwicklern ergab, dass ein Drittel von ihnen (33 %) erwartet, dass KI die Codesicherheit verbessert. Wie und wann genau, ist jedoch unklar.

Nicht jeder Anwendungsentwickler kennt sich gleich gut mit Security aus. Deshalb helfen generative KI-Plattformen bereits vielen Entwicklern, sichereren Code zu schreiben, indem sie Empfehlungen aussprechen. Es wird jedoch auch Fälle geben, in denen generative KI-Plattformen die Zahl der Schwachstellen in Anwendungen erhöhen könnten.

Das Training der ersten Welle von generativen KI-Plattformen geht auf dieses Problem zurück. Der Schulungsprozess von ChatGPT umfasste beispielsweise das Sammeln von Inhalten aus verschiedenen Quellen im Internet, die in vielen Fällen Codebeispiele mit bekannten Schwachstellen enthielten. Es überrascht daher nicht, dass ein Teil des Codes, der von diesen Plattformen erzeugt wird, die gleichen bekannten Schwachstellen aufweist. Entwickler, denen es an Cybersecurity-Fachwissen mangelt, neigen dazu, den Empfehlungen von generativen KI-Plattformen zu vertrauen. Dies kann dazu führen, dass immer mehr Schwachstellen in Anwendungen gefunden werden, da die Geschwindigkeit der Codeerstellung zunimmt.

Die gute Nachricht ist, dass die nächste Generation von großen Sprachmodellen (LLMs), die zur Codegenerierung verwendet werden, mit Beispielen trainiert wird, die bereits von Experten auf Schwachstellen überprüft wurden. Durch das Einbetten dieser LLMs in die Tools, die Entwickler zum Schreiben von Code verwenden, wird die Gesamtqualität des generierten Codes verbessert. Abgesehen von den Entwicklern selbst dürfte niemand glücklicher darüber sein als die Cybersecurity-Experten, die viel Zeit damit verbringen, nach diesen Schwachstellen in Software zu suchen.

Zumindest theoretisch dürfte die KI letztlich die Beziehung zwischen Cybersecurity-Experten und Anwendungsentwicklern verbessern. Viele der Schwachstellenwarnungen, die Entwickler erhalten, entpuppen sich oft als Fehlalarm, vor allem weil die Schwachstelle entweder gar nicht in dem Code vorhanden ist, der in einer Produktionsumgebung läuft, oder die Anwendung selbst nicht mit dem Internet verbunden ist. Je mehr Warnmeldungen die Entwickler bekommen, desto wahrscheinlicher ist es, dass sie ihnen keine Beachtung mehr schenken. KI bietet die Möglichkeit, Schwachstellen zu dem Zeitpunkt zu identifizieren und zu beheben, an dem ein Entwickler seinen Code schreibt. Dadurch sollte die Anzahl der Warnmeldungen reduziert werden, die lange nach der Entwicklung ausgegeben werden, wenn der Entwickler bereits zum nächsten Projekt weitergezogen ist.

Die meisten Entwickler verbringen nur etwa 10 % ihrer Zeit mit der Erstellung von Patches für bestehende Anwendungen. Der Druck, die Fristen für neue Anwendungen einzuhalten, ist oft zu groß, als dass sie sich um die Fehlerbehebung bei bestehenden Anwendungen kümmern könnten. Wenn jedoch eine generative KI-Plattform den benötigten Patch erstellen kann, sollte es für weniger erfahrene Entwickler einfacher werden, Probleme in einer Anwendung zu beheben, die sie ursprünglich nicht geschrieben haben, ohne die Anwendung zu beschädigen. Der Hauptgrund, warum Unternehmen ihre Anwendungen nicht so oft patchen, wie sie könnten, besteht darin, dass die Entwickler im Allgemeinen besorgt sind, dass der angewendete Patch eine Anwendung beschädigen könnte. Daher kann eine bekannte Schwachstelle weiterhin bestehen bleiben, weil das Risiko einer Geschäftsunterbrechung zu groß sein könnte.

Im Zeitalter von Ransomware kann ein Unternehmen natürlich nicht mehr dadurch verlieren, dass es seine Anwendungen nicht patcht und die Daten, auf die das Unternehmen angewiesen ist, plötzlich verschlüsselt werden. Heutzutage birgt das Unterlassen des Patchens oft ein größeres Risiko als das Patchen selbst.

Hoffentlich wird die KI eines Tages für all diese inhärenten Konflikte eine Lösung bieten. In der Zwischenzeit sollten Cybersecurity-Experten jedoch sicherstellen, dass der gesamte Code, der heute von der KI generiert wird, nicht mehr Schaden als Nutzen anrichtet.