A IA promete melhorar a segurança de aplicações

Não está claro em que medida a inteligência artificial (IA) pode melhorar a cibersegurança, mas há algumas razões para o otimismo. Uma pesquisa de 3.093 programadores realizada pela Evan Data revela que um terço (33%) espera que a IA melhore a segurança do código. No entanto, como e quando exatamente, não está claro.

Nem todos os desenvolvedores de aplicações estão igualmente bem informados sobre segurança, por isso as plataformas de IA gerativa já estão a ajudar muitos desenvolvedores a escrever código mais seguro através de recomendações. No entanto, também haverá casos em que as plataformas de IA gerativa poderão aumentar o número de vulnerabilidades nas aplicações.

O treino da primeira vaga de plataformas de IA gerativa decorre dessa questão. Por exemplo, o processo de treino do ChatGPT incluiu a recolha de conteúdo de várias fontes na Web, que abrangeu exemplos de código com vulnerabilidades conhecidas em muitos casos. Não surpreendentemente, algum do código gerado por estas plataformas também apresenta as mesmas vulnerabilidades conhecidas. Os programadores que não têm conhecimentos de cibersegurança tendem a confiar nas recomendações feitas por plataformas de IA gerativa, o que pode causar um aumento nas vulnerabilidades que acabam por integrar as aplicações à medida que o ritmo de escrita de código acelera.

A boa notícia é que a próxima geração de grandes modelos de linguagem (LLMs) usados para gerar código está a ser treinada com amostras que os especialistas validaram quanto a vulnerabilidades. Incorporar estes LLMs nas ferramentas que os desenvolvedores usam para escrever código melhorará a qualidade geral do código gerado. Além dos próprios desenvolvedores, ninguém está mais satisfeito com isso do que os profissionais de cibersegurança que passam muito tempo à procura destas vulnerabilidades no software.

Teoricamente, pelo menos, a IA deve, em última análise, melhorar a relação entre os profissionais de cibersegurança e os desenvolvedores de aplicações. Muitos dos alertas de vulnerabilidades que os desenvolvedores recebem frequentemente acabam por ser falsos alarmes, principalmente porque ou a vulnerabilidade não está realmente presente no código que está a ser executado num ambiente de produção ou a própria aplicação não está conectada à Internet. Quanto mais alertas inundam os desenvolvedores, mais provável é que deixem de prestar atenção a eles. A IA cria uma oportunidade para identificar e remediar vulnerabilidades no momento em que um desenvolvedor está a escrever código, o que deve reduzir o número de alertas gerados muito tempo depois de um desenvolvedor ter passado para o seu próximo projeto.

A maioria dos programadores dedicará apenas cerca de 10% do seu tempo a criar patches para aplicações existentes. A pressão para cumprir prazos para novas aplicações é muitas vezes demasiado grande para que possam resolver problemas em aplicações existentes. No entanto, se uma plataforma de IA generativa puder criar o patch necessário, deverá tornar-se mais viável para programadores juniores corrigirem problemas numa aplicação que não escreveram inicialmente, sem quebrar a aplicação. A principal razão pela qual as organizações não aplicam patches às aplicações tão frequentemente quanto poderiam é que os programadores geralmente estão preocupados que o patch aplicado possa quebrar uma aplicação, por isso uma vulnerabilidade conhecida pode persistir porque o risco de interrupção para o negócio pode ser demasiado grande.

Claro, na era do ransomware, a empresa pode não ter mais a perder por não corrigir aplicações quando os dados dos quais a organização depende para funcionar de repente se tornam encriptados. Hoje em dia, não corrigir uma aplicação muitas vezes cria mais risco do que corrigi-la.

Com sorte, a IA um dia resolverá todos esses conflitos inerentes. Entretanto, no entanto, os profissionais de cibersegurança podem querer certificar-se de que todo esse código gerado hoje pela IA não está prestes a causar mais mal do que bem.