
Peneliti keamanan dan penyerang beralih ke model AI untuk menemukan kerentanan, sebuah teknologi yang penggunaannya kemungkinan akan meningkatkan jumlah kelemahan perangkat lunak setiap tahun, namun pada akhirnya dapat mengurangi kelemahan dalam rilis publik, kata para ahli.
Pada 1 November, Google mengatakan agen model bahasa besar (LLM) Big Sleep menemukan kerentanan buffer-underflow di mesin database populer, SQLite. Eksperimen tersebut menunjukkan bahaya dan potensi dari alat penemuan kerentanan yang didukung AI: Agen AI menelusuri kode untuk menemukan variasi kerentanan tertentu, namun mengidentifikasi kelemahan perangkat lunak pada saat Google dapat melakukannya. beri tahu proyek SQLite dan bekerja sama dengan mereka untuk memperbaiki masalah ini.
Menggunakan AI hanya untuk penemuan cacat perangkat lunak dapat mengakibatkan lonjakan pengungkapan kerentanan, namun memasukkan agen LLM ke dalam jalur pengembangan dapat membalikkan tren dan menyebabkan lebih sedikit kelemahan perangkat lunak yang menyebar ke alam liar, kata Tim Willis, kepala Project Zero Google. upaya perusahaan untuk mengidentifikasi kerentanan zero-day.
“Meskipun kami berada pada tahap awal, kami percaya bahwa teknik yang kami kembangkan melalui penelitian ini akan menjadi bagian yang berguna dan umum dari perangkat lunak yang dimiliki oleh pengembang perangkat lunak,” katanya.
Google tidak sendirian dalam mencari cara yang lebih baik untuk menemukan – dan memperbaiki – kerentanan. Pada bulan Agustus, sekelompok peneliti dari Georgia Tech, Samsung Research, dan perusahaan lain – yang secara kolektif dikenal sebagai Team Atlanta – menggunakan sistem pencarian bug LLM untuk secara otomatis menemukan dan menambal bug di SQLite. Dan bulan lalu, perusahaan keamanan siber GreyNoise Intelligence mengungkapkan hal tersebut menggunakan sistem Sift AI untuk menganalisis log honeypot mengarah pada penemuan dan penambalan dua kerentanan zero-day yang memengaruhi kamera yang terhubung ke Internet yang digunakan di lingkungan sensitif.
Secara keseluruhan, perusahaan mendapatkan lebih banyak cara untuk mengotomatisasi penemuan kerentanan, dan – jika mereka serius mengenai keamanan – akan mampu menurunkan jumlah kerentanan dalam produk mereka dengan menggunakan alat yang sedang dikembangkan, kata Corey Bodzin, chief product officer di GreyNoise Intelijen.
“Hal yang menarik adalah kita memiliki teknologi yang memungkinkan orang melakukan hal tersebut [care about] keamanan menjadi lebih efektif,” katanya. “Sedihnya…tidak banyak perusahaan yang menerapkan hal ini…pendorong utama, bahkan di perusahaan yang [security is] semata-mata dipandang sebagai biaya” dapat memperoleh manfaat dari penggunaan alat-alat ini.
Hanya Langkah Pertama
Saat ini, pendekatan khusus Google masih dibuat khusus dan memerlukan upaya untuk beradaptasi dengan tugas pencarian kerentanan tertentu. Agen Big Sleep perusahaan tidak mencari kerentanan yang benar-benar baru, namun menggunakan detail dari kerentanan yang ditemukan sebelumnya untuk mencari masalah serupa. Proyek ini telah melihat program yang lebih kecil dengan kerentanan yang diketahui sebagai kasus uji, namun percobaan SQLite adalah pertama kalinya mereka menemukan kerentanan dalam kode produksi, peneliti Google Project Zero dan Google DeepMind dinyatakan dalam postingan blog Google yang menjelaskan penelitian tersebut.
Meskipun fuzzer khusus kemungkinan besar telah menemukan bug tersebut, menyetel alat tersebut agar berfungsi dengan baik adalah proses yang sangat manual, kata Willis dari Google.
“Satu janji [L]Agen LM adalah bahwa mereka dapat menggeneralisasi seluruh aplikasi tanpa memerlukan penyetelan khusus,” katanya. “Selain itu, kami berharap bahwa [L]Agen LM akan mampu mengungkap subset kerentanan yang berbeda dari yang biasanya ditemukan melalui fuzzing.”
Penggunaan alat penemuan kerentanan berbasis AI akan menjadi perlombaan antara penyerang dan pembela. Peninjauan kode manual adalah cara yang tepat untuk menemukan bug bagi penyerang, yang hanya memerlukan satu kerentanan yang dapat dieksploitasi atau rantai kerentanan pendek. Namun para pembela HAM memerlukan cara yang terukur untuk menemukan dan memperbaiki aplikasi, kata Willis. Meskipun alat pencarian bug dapat menjadi pengganda kekuatan bagi penyerang dan pembela, kemampuan untuk meningkatkan analisis kode kemungkinan akan memberikan manfaat yang lebih besar bagi pembela HAM, kata Willis.
“Kami memperkirakan bahwa kemajuan dalam penemuan kerentanan otomatis, triase, dan remediasi akan memberikan manfaat yang tidak proporsional bagi para pembela HAM,” katanya.
Fokuskan AI pada Menemukan dan Memperbaiki Bug
Perusahaan yang berfokus pada penggunaan AI untuk menghasilkan kode aman dan memperbaiki bug ketika ditemukan akan memberikan kode berkualitas lebih tinggi dari pengembang, kata Chris Wysopal, salah satu pendiri dan kepala penginjil keamanan di Veracode, sebuah perusahaan keamanan aplikasi. Dia berpendapat bahwa mengotomatisasi penemuan bug dan perbaikan bug adalah dua masalah yang sangat berbeda. Menemukan kerentanan adalah masalah data yang sangat besar, sedangkan perbaikan bug biasanya berhubungan dengan selusin baris kode.
“Setelah Anda mengetahui adanya bug — jika Anda menemukannya melalui fuzzing, atau melalui LLM, atau menggunakan tinjauan kode manusia — dan Anda mengetahui jenis bugnya, perbaikannya relatif mudah,” katanya. “Jadi, LLM lebih menyukai pembela HAM, karena memiliki akses ke kode sumber dan memperbaiki masalah itu mudah. Jadi saya agak optimis bahwa kita bisa menghilangkan seluruh kelompok kerentanan, tapi ini bukan karena menemukan lebih banyak kerentanan, tapi karena bisa memperbaiki lebih banyak lagi. “
Perusahaan yang mengharuskan pengembang untuk menjalankan alat keamanan otomatis sebelum check-in kode akan berada pada jalur untuk membayar utang keamanan mereka — kumpulan masalah yang mereka ketahui, namun belum sempat untuk memperbaikinya, katanya. Saat ini, sekitar setengah (46%) organisasi mempunyai utang keamanan dalam bentuk kelemahan kritis yang terus-menerus dalam aplikasi, menurut Veracode Status Keamanan Perangkat Lunak 2024 laporan.
“Gagasan bahwa Anda melakukan kode yang memiliki masalah di dalamnya, dan belum diperbaiki, akan menjadi pengecualian, bukan aturan, seperti yang terjadi saat ini,” kata Wysopal. “Setelah Anda dapat mulai mengotomatiskan perbaikan ini – dan kami selalu menjadi lebih baik dalam mengotomatisasi pencarian [vulnerabilities] — Menurutku begitulah keadaan berubah.”
Namun, teknologi ini masih harus mengatasi fokus perusahaan pada efisiensi dan produktivitas dibandingkan keamanan, kata Bob Rudis, wakil presiden penelitian ilmu data dan keamanan di GreyNoise Intelligence. Dia menunjuk pada perbaikan dua kerentanan keamanan yang ditemukan dan diungkapkan secara bertanggung jawab oleh GreyNoise Intelligence. Perusahaan hanya memperbaiki masalah pada dua model produk, namun tidak pada model produk lainnya — meskipun faktanya produk lain kemungkinan besar memiliki masalah serupa, katanya.
Google dan GreyNoise Intelligence membuktikan bahwa teknologi ini akan berhasil, namun apakah perusahaan mengintegrasikan AI ke dalam jalur pengembangan untuk menghilangkan bug masih menjadi pertanyaan terbuka.
Rudis ragu.
“Saya yakin beberapa organisasi akan menerapkannya — ini akan membuat tujuh file C sedikit lebih aman di banyak organisasi, dan mungkin kita akan mendapatkan lebih banyak keamanan bagi organisasi yang benar-benar dapat menerapkannya. menyebarkannya dengan benar, “katanya. “Tetapi pada akhirnya, sampai kita benar-benar mengubah struktur insentif mengenai bagaimana vendor perangkat lunak membangun dan menerapkan sesuatu, dan bagaimana konsumen benar-benar membeli dan menerapkan serta mengkonfigurasi sesuatu, kita tidak akan melihat manfaat apa pun.”