KI-Tools zum Schreiben von Code sind ein schlechtes Omen für die Cybersecurity

Viele Cybersecurityrisiken lassen sich auf Schwachstellen zurückführen, die zwar bekannt waren, aber nicht vor der Bereitstellung einer Anwendung in der Produktion behoben worden sind. Cyberkriminelle suchen routinemäßig nach diesen Schwachstellen, weil sie so häufig ohne Patches bereitgestellt werden. Tatsächlich ändert sich die Top-10-Liste der von der OWASP Foundation am häufigsten in Webanwendungen gefundenen Schwachstellen kaum.

Da die Menge des erzeugten Codes weiter zunimmt, kann man wohl davon ausgehen, dass auch die Zahl der Schwachstellen, die in Produktionsumgebungen eingesetzt werden, weiter steigen wird. Die meisten der großen Sprachmodelle (LLMs), die zur Codegenerierung verwendet werden, wurden anhand von Codeproben unterschiedlicher Qualität aus dem Internet trainiert. Dies führt dazu, dass neue Anwendungen, die mit diesem generierten Code erstellt werden, viele der gleichen Schwachstellen aufweisen, die auch im ursprünglichen Code zum Trainieren des LLM auftraten.

Viele Cybersecurity-Experten sind sich der Auswirkungen bereits bewusst. Eine Umfrage unter 800 Entscheidungsträgern im Sicherheitsbereich ergab, dass fast alle (92 %) hinsichtlich des durch große Sprachmodelle (LLMs) generierten und in Anwendungen eingesetzten Codes Bedenken haben.

Die von Venafi, einem Anbieter einer Plattform zur Sicherung von Maschinenidentitäten, durchgeführte Umfrage ergab auch, dass 63 % der Befragten in Erwägung gezogen haben, den Einsatz von KI in der Programmierung aufgrund von Sicherheitsrisiken zu verbieten. Allerdings gaben 72 % auch zu, dass sie keine andere Wahl haben, als Entwicklern den Einsatz von KI zu erlauben, wenn ihr Unternehmen wettbewerbsfähig bleiben will.

Zwei Drittel (63 %) der Befragten gaben außerdem an, dass es unmöglich sei, den sicheren Einsatz von KI in ihrem Unternehmen zu regeln, da sie keinen Überblick darüber hätten, wo KI eingesetzt wird. Weniger als die Hälfte (47 %) gab an, dass ihr Unternehmen über Richtlinien verfügt, um den sicheren Einsatz von KI in Entwicklungsumgebungen zu gewährleisten.

Letztendlich sagten jedoch über drei Viertel (78 %), dass KI-entwickelter Code zu einem Tag der Abrechnung führen wird, wobei 59 % bereits schlaflose Nächste aufgrund der Sicherheitsimplikationen von KI hätten.

Es gibt nicht viel, was Cybersecurity-Teams zu diesem Zeitpunkt tun können, außer die Anwendungsentwicklungsteams weiterhin aufzufordern, die besten DevSecOps-Praktiken anzuwenden, um vor dem Einsatz der Software so viele Schwachstellen wie möglich zu identifizieren und zu beheben. In der Zwischenzeit ist es so gut wie sicher, dass in den kommenden Monaten ein Tsunami von Schwachstellen in Produktionsumgebungen auftauchen wird. Hoffentlich werden diese Schwachstellen gefunden und behoben, bevor sie ausgenutzt werden.

Doch so beunruhigend dies auch sein mag, es besteht Anlass für Optimismus. Die nächste Generation von LLMs wird mit Code trainiert, der genauestens überprüft wurde. Diese LLMs sollten viel hochwertigeren Code generieren als LLMs wie ChatGPT, die mit Bots trainiert wurden, die Code von überall her gesammelt haben. Anstatt den Entwicklungsteams vorzuschreiben, dass sie keine KI-Tools verwenden dürfen, wäre es für die Cybersecurity-Teams besser, die Entwicklungsteams dazu zur Verwendung von LLMs aufzufordern, die entweder speziell für die Erstellung von Anwendungen entwickelt oder angepasst wurden, um die Anzahl der generierten Schwachstellen zu reduzieren.

Letztendlich werden wir die generativen KI-Geister nicht mehr los. Anwendungsentwickler werden diese Tools mit oder ohne Genehmigung verwenden. Cybersecurity-Teams müssen bedenken, dass diese Tools nicht alle gleich sind. Der Schwerpunkt muss nun darauf liegen, diejenigen zu identifizieren, die die Grundlagen der Anwendungssicherheit tatsächlich verstehen.