Як захистити код, згенерований ШІ, за допомогою самонавчальних агентів ШІ. Дослідження CrowdStrike

У сфері розробки ПЗ автономні агенти генерації коду змінюють правила гри. Автоматизуючи складні завдання кодування, ці агенти звільняють розробників, щоб вони могли зосередитися на високоякісному контенті. Вони більше не прив’язані до рутинних, трудомістких процесів, які виснажують їхню творчу енергію. 

Згідно з підходом «вібраційного кодування» – концепції, популяризованої співзасновником OpenAI Андреєм Карпати, – великі мовні моделі (LLM) виконують більшу частину кодування. Для цього не потрібен досвід програмування або технічні знання – користувачі можуть просто вводити підказки про завдання, яке вони намагаються виконати, в текстове поле, а інструмент ШІ виводить прототип додатку. Вайб-кодування приваблює все більше людей, оскільки дозволяє їм реалізувати свій творчий потенціал і спрямувати свою пристрасть на створення інноваційних додатків. Але що вони отримують в результаті? Безліч нових програмних систем, але також і безліч ризиків. 

Вразливості вже давно викликають занепокоєння в індустрії кібербезпеки. Розрив між виявленням вразливостей та їх виправленням наражає організації на значний ризик експлуатації. Враховуючи велику швидкість автономної розробки коду, цей розрив може стати ще більшим. 

Оскільки галузь переходить до автоматизованої генерації та перевірки коду, захист коду, розробленого агентами ШІ, стає ключовим викликом для безпеки. Хоча тестувальники ПЗ та інструменти, які використовують люди, можуть перевірити безпеку коду, масштаб і темпи динамічної генерації коду створюють значну перешкоду. Проблема схожа на спробу встигнути за кулею, що летить на великій швидкості – це складне завдання, яке вимагає інтелектуальних рішень для автоматизації та посилення процесів безпеки. 

У цьому новому ландшафті, де автономна генерація коду є нормою, потреба в інтелектуальних рішеннях, які масштабуються, є більш нагальною, ніж будь-коли. Бізнесу потрібні системи, які можуть не тільки автоматизувати процеси безпеки, але й передбачати та адаптуватися до нових загроз. Використання можливостей ШІ на початку життєвого циклу розробки програмного забезпечення гарантує, що безпека є частиною процесу на етапі перед випуском продукту.

У автоматизованій галузі «вібраційного кодування» та генерації коду з використанням ЩІ CrowdStrike ініціювали комплексне тестування передової системи на основі ШІ, розробленої для забезпечення суворого дотримання безпечних практик розробки ПЗ. Ця автономна система агентів використовує найновіші можливості виявлення загроз і вразливостей у коді, забезпечуючи тим самим посилений захист від широкого спектру загроз, включаючи несанкціонований доступ, вбудовування бекдорів, використання вразливостей та інші зловмисні дії.  

Перевірка концепції CrowdStrike складається щонайменше з трьох агентних систем ШІ, кожна з яких побудована на основі різних ролей безпеки, які працюють разом, щоб посилити знання та дії одна одної. Ці системи включають: 

1. Агент сканування вразливостей: здатний виявляти вразливості в коді та розуміти, яке статичне тестування безпеки додатків (SAST) найкраще підходить для кожного додатка. 
2. Агент Red Teaming: створює сценарії експлуатації, використовуючи внутрішні знання та інформацію з історичних баз даних зловмисників. Цей агент вчиться на попередніх ітераціях, щоб асоціювати кортежі конкретних вразливостей і коду експлуатації з найкращими результатами. 
3. Агент виправлень: відповідає за створення модульних тестів безпеки та генерування виправлень коду на основі даних від агента Vulnerability AI, комплексного зворотного зв’язку від модульних тестів та результатів експлуатації, отриманих від агента Red Teaming AI.

Отримавши репозиторій коду, агент Vulnerability AI відповідає за пошук вразливостей в отриманому вихідному коді або в оновленнях програми за допомогою pull-запиту. Під час кожного нового сканування агент обирає один або кілька інструментів SAST, які підходять для цільової програми, на основі інформації, яку він отримує з файлів README та попередніх знань про подібні випадки.

Потім агент Vulnerability AI ініціює комплексне сканування вихідного коду, використовуючи кастомні правила для інструменту(ів) SAST, щоб виявити потенційні вразливості в системі безпеки. Цей процес полегшується завдяки співпраці з агентами Patching AI та Red Teaming AI, які допомагають у створенні модульних тестів безпеки та перевірці вразливостей шляхом експлуатації.

Після завершення процесів сканування та перевірки вразливостей ШІ-агент Vulnerability уточнює свою базу знань, оцінюючи достовірність виявлених вразливостей та точність інструментів SAST для конкретних типів додатків. Таке поглиблене розуміння дозволяє ШІ-агенту генерувати високоефективні патчі, які усувають виявлені вразливості.

Виявлення та усунення вразливостей у попередніх версіях коду вимагає значних зусиль вручну. Коли розглядається будь-яке попередження SAST, відкривається кодова база для перевірки проблеми, вноситься виправлення, робиться запит на отримання коду, а потім він об’єднується. Завдяки такому підходу час, необхідний для цього процесу в нашому тестовому середовищі, скорочується приблизно на 90%.

Поєднання LLM та інструментів SAST у циклічному процесі, де LLM інтерпретує файли README, а SAST виводить результати, дає змогу постійно вдосконалювати можливості ШІ-агента у виявленні та усуненні загроз безпеці.

АІ-агент Red Teaming від CrowdStrike стоїть на сторожі невидимих вразливостей системи безпеки. Завдяки «інстинктам», відточеним на минулому досвіду та навчанню на системах з розширеним пошуком (RAG), ця технологія виявляє та перевіряє вразливості шляхом експлуатації, а потім використовує свій досвід, щоб виявити нові слабкі місця, які могли бути на виду. Результати використовуються для вдосконалення та оптимізації підходу з використанням мульти-агентів за допомогою процесів тонкого налаштування. 

LLM цього агента має контекстні дані від ролі Vulnerability, які дозволяють йому генерувати код експлуатації та запускати додаток, зчитуючи конфігураційні файли (докер-файли, make-файли і т.д.). Потім він переходить до збору критично важливої розвідувальної інформації, включаючи кінцеву точку програми, відкриті порти та доступні веб-маршрути. Ці кроки сприяють досягненню кінцевої мети – виконанню цільової експлуатації на працюючому коді, забезпечуючи максимальний ефект. 

Тріо таких агентів зі ШІ співпрацюють разом, виконуючи роль скляної тестової скриньки, щоб забезпечити експертизу кібербезпеки на машинній швидкості. Вони виявляють усі потенційні вразливості шляхом вичерпного сканування та аналізу, проводячи ретельне тестування з використанням найкращих методів моделювання атак. Такий підхід є перспективним, оскільки гарантує, що жодна з вразливостей не залишиться без уваги, запобігаючи їх оприлюдненню, що згодом вимагатиме дорогого та трудомісткого виправлення вручну. 

Важливо бути на крок попереду зловмисників, імітуючи реальні атаки на коропративні системи до того, як вони можуть бути використані. Дослідження, які проводять аналітики CrowdStrike, допомагають виявляти вразливості та слабкі місця в режимі реального часу. 

Використовуючи колективну силу ШІ-агентів, компанії можуть розраховувати на майбутнє, в якому прозорість, гнучкість і ефективність кібербезпеки можуть вийти на новий рівень. Це допоможе захистити найцінніші активи в умовах швидкозмінного ландшафту загроз і скоротити час і зусилля, необхідні для виявлення вразливостей за допомогою автоматизованих суворих тестів. 

CrowdStrike прагне до нових досліджень, лідерства в індустрії кібербезпеки та випередження кіберзловмисників. Саме завдяки такому фокусу на інноваціях, платформа CrowdStrike Falcon® на базі ШІ залишається в авангарді захисту кібербезпеки – навіть коли в гру вступають такі технології як генерація коду з використанням ШІ.