Inteligența artificială, noul aliat al securității cibernetice? Reacția pieței, mai degrabă exagerată
Compania Anthropic a lansat recent Claude Code Security, o nouă funcție bazată pe inteligență artificială (IA) menită să scaneze codul sursă în căutarea vulnerabilităților de securitate și să ofere sugestii de remediere. Anunțul a declanșat o reacție rapidă în piața de profil, cu echipele de securitate solicitând accesul la noua funcție, dar și cu o scădere dramatică a acțiunilor companiilor de securitate cibernetică. Experții au interpretat evenimentul ca pe un potențial început al declinului pentru furnizorii tradiționali de servicii în domeniu, însă reacția de pe bursă ar putea fi prematură.
Claude Code Security este integrat în Claude Code, iar funcția folosește IA pentru a analiza bazele de cod, identificând potențialele breșe de securitate și oferind soluții pentru a remedia aceste probleme. Conform companiei, noua funcție reprezintă o evoluție majoră, trecând de la simpla identificare a tiparelor de cod suspecte la o analiză bazată pe raționament, analizând comportamentul codului. Anthropic a demonstrat deja capacitățile tehnologiei prin identificarea a peste 500 de vulnerabilități în baze de cod open-source, vulnerabilități care au rămas nedetectate timp de ani de zile.
Provocări și întrebări fără răspuns
Deși performanțele prezentate sunt impresionante, apar și semne de întrebare. Un aspect important este rata de fals pozitiv, adică numărul de identificări eronate. Găsirea a 500 de potențiale vulnerabilități nu înseamnă neapărat că toate sunt exploatabile în practică. Instrumentele de acest tip pot genera rezultate care par a indica probleme, dar care nu prezintă un risc real. Anthropic susține că instrumentul verifică rezultatele înainte de a le afișa, însă o evaluare independentă lipsește.
O altă întrebare esențială se referă la exploatabilitatea vulnerabilităților. Este important de diferențiat între o vulnerabilitate teoretică și una care poate fi exploatată într-un mediu real. Gravitatea unei vulnerabilități în teorie poate fi diferită de gravitatea în practică. De asemenea, se pune problema costurilor asociate cu verificarea și remedierea acestor vulnerabilități. Instrumentul identifică problemele, dar procesul de analiză, înțelegere a contextului, confirmare a exploatabilității și găsire a celei mai bune soluții necesită timp și resurse umane.
IA și paradoxul securității cibernetice
Reacția pieței la lansarea Claude Code Security pare să ignore aspecte mai complexe. Ideea că IA ar putea înlocui complet instrumentele tradiționale de securitate este simplistă. „Este ca și cum am spune: „Am construit un detector de fum foarte bun, așa că pompierii sunt depășiți””, se arată într-o analiză aprofundată a subiectului. Găsirea vulnerabilităților este importantă, dar partea dificilă este remedierea lor. Acest proces implică găsirea soluțiilor pentru sute de depozite de cod, fără a crea alte probleme.
Un aspect paradoxal este că aceleași tehnologii IA care identifică vulnerabilități pot fi folosite și pentru a le crea. Studiile arată că modelele de IA pot introduce vulnerabilități în codul generat. Tehnologia este, deci, în același timp parte a problemei și a soluției. Anthropic recunoaște acest lucru și subliniază importanța unei strategii de securitate complete care să țină cont de ambele aspecte ale ecuației.
Peisajul concurențial în domeniul securității cibernetice este în continuă schimbare. Companii precum OpenAI și Google au lansat deja instrumente similare, care folosesc IA pentru a identifica și remedia vulnerabilități. Anthropic a ales să se concentreze pe dezvoltarea unui instrument de scanare și remediere a securității, un semnal clar că direcția industriei este către fluxuri de lucru de securitate bazate pe IA. Claude Code Security este disponibil pentru testare, cu acces gratuit pentru administratorii open-source. În prezent, funcția scanează codul și sugerează remedieri, dar aprobarea umană este necesară pentru implementare.
