As ferramentas de IA para escrever código não auguram nada de bom para a cibersegurança.

Muitos riscos de cibersegurança podem ser atribuídos a vulnerabilidades que eram conhecidas mas não resolvidas antes de uma aplicação ser implementada em produção. Os cibercriminosos procuram rotineiramente estas vulnerabilidades porque são tão frequentemente implementadas ou deixadas por corrigir. De facto, a lista das 10 principais vulnerabilidades encontradas mais frequentemente em aplicações Web, conforme identificado pela Fundação OWASP raramente muda.

À medida que a quantidade de código gerado continua a aumentar, é provavelmente seguro dizer que o número de vulnerabilidades a serem implementadas em ambientes de produção continuará a crescer. A maioria dos grandes modelos de linguagem (LLMs) usados para gerar código foi treinada utilizando amostras de código de qualidade variável de toda a Web. Como resultado, as novas aplicações construídas por este código gerado terão muitas das mesmas vulnerabilidades que apareceram no código original usado para treinar o LLM.

Muitos profissionais de cibersegurança já estão cientes das implicações. Uma pesquisa de 800 responsáveis por decisões de segurança revela que quase todos (92%) estão preocupados com o uso de código gerado por grandes modelos de linguagem (LLMs) dentro de aplicações.

Realizada pela Venafi, um fornecedor de uma plataforma para proteger identidades de máquinas, a pesquisa também revela que 63% dos inquiridos consideraram proibir o uso de IA na codificação devido a riscos de segurança. No entanto, 72% também admitiram que não têm escolha senão permitir que os desenvolvedores usem IA para que a sua organização permaneça competitiva.

Dois terços (63%) dos entrevistados também disseram que é impossível governar o uso seguro da IA na sua organização porque não têm visibilidade de onde a IA está a ser utilizada. Menos de metade (47%) disse que a sua organização tem políticas implementadas para garantir o uso seguro da IA nos ambientes de desenvolvimento.

Em última análise, no entanto, mais de três quartos (78%) disseram que o código desenvolvido por IA levará a um ajuste de contas em termos de segurança, com 59% já a perderem o sono devido às implicações de segurança da IA.

Neste momento, não há muito que as equipas de cibersegurança possam fazer além de continuar a encorajar as equipas de desenvolvimento de aplicações a adotar as melhores práticas de DevSecOps para identificar e remediar o maior número possível de vulnerabilidades antes do software. Entretanto, é praticamente certo que um tsunami de vulnerabilidades aparecerá nos ambientes de produção nos próximos meses. Espera-se que estas vulnerabilidades sejam encontradas e mitigadas antes de serem exploradas.

Por mais preocupante que isso seja, no entanto, há motivos para otimismo. A próxima geração de LLMs está a ser treinada com código que foi altamente verificado. Esses LLMs devem gerar código de qualidade muito superior aos LLMs como o ChatGPT, que foram treinados usando bots que recolheram código de quase toda a parte. Em vez de dizer às equipas de desenvolvimento de aplicações que não podem usar ferramentas de IA, as equipas de cibersegurança seriam melhor servidas se encorajassem as equipas de desenvolvimento de aplicações a usar LLMs que foram especificamente construídos para criar aplicações ou foram personalizados para reduzir o número de vulnerabilidades geradas.

Em última análise, o génio da IA generativa não vai voltar para a garrafa. Os desenvolvedores de aplicações vão usar essas ferramentas com ou sem permissão. O que as equipas de cibersegurança precisam lembrar é que não são todas iguais. O foco agora precisa estar em identificar as que têm uma compreensão real dos fundamentos da segurança de aplicações.