Aprovechar los beneficios de la innovación de la IA depende de empezar con un código seguro

Los desarrolladores de software han demostrado que están preparados y dispuestos a utilizar la inteligencia artificial (IA) generativa para escribir código y, en general, han obtenido algunos resultados favorables. Pero también hay muchos indicios de que podrían estar jugando a un juego peligroso.

Según un reciente encuesta realizada por GitHub, más del 90% de los desarrolladores estadounidenses utilizan herramientas de codificación de IA, y citan ventajas como tiempos de finalización más rápidos, resolución rápida de los incidentes y un entorno más colaborativo, algo que consideran importante. Trabajar con herramientas de inteligencia artificial permite a los desarrolladores delegar tareas rutinarias, lo que les permite dedicarse a trabajos más creativos que benefician a sus empresas y, no por casualidad, reduce las posibilidades de agotamiento laboral.

Sin embargo, los estudios también han demostrado que las herramientas de IA tienden a introducir defectos al escribir código. UN encuesta de Snyk descubrió que, aunque el 75,8% de los encuestados dijo que el código de IA es más seguro que el código humano, el 56,4% admitió que la IA a veces introduce problemas de codificación. Resulta alarmante que el 80% de los encuestados afirme que elude las políticas de seguridad del código de IA durante el desarrollo.

Desde OpenAI's Chat GPT debutado en noviembre de 2022, el uso de modelos de IA generativa se ha extendido a la velocidad del rayo a lo largo del proceso de desarrollo del código en los servicios financieros, como lo ha hecho en muchos otros campos. La rápida aparición de otros modelos, como Copiloto de GitHub, Codex OpenAI, y un lista creciente de otros, sugiere que solo hemos arañado la superficie de lo que la IA generativa puede hacer y el impacto que puede tener. Sin embargo, para que ese impacto sea positivo, debemos asegurarnos de que el código que genera es seguro.

Los errores de codificación se pueden propagar rápidamente

Ya sea creado por desarrolladores humanos o por modelos de IA, el código va a contienen algunos errores. Dado que la IA ayuda a acelerar el desarrollo de código para satisfacer las demandas cada vez mayores en entornos informáticos altamente distribuidos y basados en la nube, podrían aumentar las probabilidades de que el código incorrecto se propague ampliamente antes de que se detecte.

Los modelos de IA que se están entrenando para escribir código incorporarán miles de ejemplos de código que realizan diversas tareas y, a continuación, pueden basarse en esos ejemplos para crear su propio código. Pero si las muestras con las que está trabajando contienen defectos o vulnerabilidades (ya sea que hayan sido creadas originalmente por un humano o por otra IA), el modelo podría transferir esos defectos a un nuevo entorno.

Considerando la investigación ha demostrado Dado que los modelos de IA no son capaces de reconocer de manera confiable las fallas en el código que utilizan, hay poca defensa integrada contra la propagación de fallas y vulnerabilidades. La IA no solo cometerá errores al programar, sino que repetirá sus propios errores y los de otras fuentes hasta que se identifique la vulnerabilidad en algún momento, tal vez en forma de una violación exitosa de la seguridad de una empresa que utiliza el software que creó.

La verdadera defensa contra la proliferación de errores de codificación es que los humanos y los modelos de IA trabajen juntos. Los desarrolladores humanos deben supervisar la escritura del código de la IA y actuar como contrapeso a las prácticas de codificación inseguras y al código vulnerable. Pero para que eso suceda, los desarrolladores deben estar bien formados en las mejores prácticas de escritura segura de código para que puedan identificar los errores de codificación que podría cometer una IA y corregirlos rápidamente.

Los desafíos de la creación y corrección de códigos de IA

La repentina explosión de grandes modelos lingüísticos (LLM) como ChatGPT ha sido una especie de arma de doble filo. Por un lado, las empresas y los usuarios habituales han registrado enormes aumentos de productividad gracias al uso de la IA para gestionar tareas laboriosas, onerosas o difíciles que consumen mucho tiempo. Por otro lado, hay muchos ejemplos de lo que puede salir mal cuando se confía ciegamente en la IA para que se encargue del trabajo.

Los modelos de IA han creado errores evidentes, demostró sesgo y produjo alucinaciones rotundas. En muchos casos, la raíz del problema eran los datos de capacitación inadecuados o irresponsables. Cualquier modelo de IA es tan bueno como los datos con los que se entrena, por lo que es esencial que los datos de entrenamiento sean exhaustivos y se examinen cuidadosamente. Sin embargo, incluso entonces, se cometerán algunos errores.

El uso de la IA para la codificación se enfrenta a muchos de los mismos obstáculos. Se ha demostrado que el código generado por la IA contiene una serie de defectos, como las vulnerabilidades relacionadas con la creación de secuencias de comandos entre sitios y la inyección de código, así como los ataques específicos de la IA y el aprendizaje automático (ML), como inyección rápida. Los modelos de IA también funcionan en una caja negra porque sus procesos no son transparentes, lo que impide que un equipo de seguridad o desarrollo vea cómo una IA llega a sus conclusiones. Como resultado, el modelo puede repetir los mismos errores una y otra vez. Las mismas deficiencias que pueden afectar a la escritura de código también se aplican al uso de la IA para remediación de código y cumplir con los requisitos de cumplimiento.

La posibilidad de que los modelos de IA creen o repitan fallas ha crecido hasta el punto de que los LLM ahora tienen su propia lista de proyectos abiertos de seguridad de aplicaciones web (OWASP) diez principales vulnerabilidades.

Los desarrolladores y la IA pueden trabajar juntos para crear un código seguro

La preocupación por las posibles fallas en el código generado por la IA podría hacer que algunas organizaciones se detengan, aunque sea brevemente, a la hora de seguir adelante con la tecnología. Sin embargo, los beneficios potenciales son demasiado grandes como para ignorarlos, especialmente a medida que los desarrolladores de IA siguen innovando y mejorando sus modelos. Por ejemplo, es poco probable que el sector de los servicios financieros vuelva a meter la pata en la botella. Los bancos y las empresas de servicios financieros ya están impulsados por la tecnología y operan en un campo en el que siempre buscan una ventaja competitiva.

La clave es implementar modelos de IA de manera que se minimice el riesgo. Y eso significa contar con desarrolladores que sean conscientes de la seguridad y estén bien formados en las mejores prácticas de codificación segura, para que puedan escribir código seguro por sí mismos y supervisar de cerca el código que producen los modelos de IA. Si los motores de inteligencia artificial y los desarrolladores humanos trabajan en estrecha colaboración y los desarrolladores tienen la última palabra, las empresas pueden aprovechar los beneficios de una mayor productividad y eficiencia y, al mismo tiempo, mejorar la seguridad, limitar los riesgos y garantizar el cumplimiento.

Para obtener una descripción general completa de cómo la codificación segura puede ayudar a garantizar el éxito, la seguridad y los beneficios de las empresas de servicios financieros, puede leer la guía Secure Code Warrior, recientemente publicada: La guía definitiva sobre las tendencias de seguridad en los servicios financieros.

‍

‍

Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre la ciberseguridad y el panorama de amenazas cada vez más peligroso, y para obtener información sobre cómo puede emplear tecnología y formación innovadoras para proteger mejor a su organización y a sus clientes.

‍