Para Ana Lucia Amaral, de Checkmarx, la inteligencia artificial en la seguridad de aplicaciones es un arma de doble filo.
La inteligencia artificial (IA) es cada vez más utilizada en la seguridad de aplicaciones (AppSec) para mejorar la eficiencia y efectividad del proceso de seguridad. Sin embargo, esta tecnología también puede ser utilizada por los hackers para encontrar y explotar vulnerabilidades, según un informe reciente. Los hackers pueden utilizar la IA para automatizar el proceso de búsqueda de vulnerabilidades y explotarlas con mayor rapidez. Además, la IA puede tener falsos positivos y falsos negativos, lo que significa que puede detectar una amenaza que no existe o no detectar una que sí existe.
Por otro lado, el chatbot ChatGPT ha generado revuelo con su capacidad para producir código, resolver exámenes de certificación y proporcionar información sobre seguridad. Sin embargo, su incapacidad para escribir código seguro es motivo de preocupación. Aunque puede proporcionar información precisa, no puede anticipar problemas de seguridad. Es importante tener en cuenta sus limitaciones en términos de seguridad.
En última instancia, la IA puede ser una herramienta valiosa en la seguridad de las aplicaciones, pero los equipos de seguridad deben ser conscientes de los posibles riesgos y limitaciones de la IA y utilizarla junto con otras técnicas de seguridad para garantizar la protección completa de sus aplicaciones.
El Lenguaje de la Vieja Escuela
Aunque el lenguaje C no es tan popular como otros lenguajes, sigue siendo el que permite a los desarrolladores crear cualquier cosa. Solo se necesita paciencia y tiempo. Entonces, ¿por qué no comenzar a buscar ejemplos en el lenguaje C? Por ejemplo, en el artículo de Miguel Correia, investigador de AppSec en Checkmarx, pidió al chatbot que creara una aplicación C simple que leyera una entrada de la consola y la imprimiera.
Aunque el código generado es bastante simple, es vulnerable a un desbordamiento de búfer en la función scanf. En la documentación de scanf, "la cadena de entrada se detiene en un espacio en blanco o en la anchura máxima del campo, lo que ocurra primero". Como no se ha definido un valor máximo, scanf seguirá leyendo hasta encontrar un espacio en blanco.
Limitaciones de la inteligencia artificial en la creación de código: una reflexión sobre su uso en la seguridad de aplicaciones
La inteligencia artificial ha evolucionado rápidamente y ha logrado alcanzar nuevos niveles de precisión y complejidad, lo que incluye la capacidad de asistir a los desarrolladores en la creación de código. Sin embargo, estos modelos aún presentan limitaciones importantes, como la falta de contexto y la imposibilidad de capturar todas las posibles vulnerabilidades.
Aunque la tecnología ha avanzado, aún existen riesgos significativos asociados con su uso, como la posibilidad de que la información utilizada para entrenar a los modelos esté contaminada con errores humanos o intenciones maliciosas. Además, los asistentes de inteligencia artificial no son perfectos, y los desarrolladores no deben depender exclusivamente de ellos para garantizar la seguridad de su código.
Para mejorar la seguridad de las aplicaciones, es fundamental realizar actividades de revisión de código y utilizar herramientas de seguridad de aplicaciones (AppSec), como pruebas de seguridad estáticas (SAST) y análisis de composición de software (SCA). Los desarrolladores deben ser conscientes de que los asistentes de inteligencia artificial no son una solución mágica para garantizar la seguridad de su código, y que aún se requiere de un pensamiento crítico y un enfoque proactivo para la seguridad de las aplicaciones.
En resumen, aunque la tecnología de asistentes de inteligencia artificial es prometedora, no es una solución infalible para garantizar la seguridad del código. Los desarrolladores deben utilizar una combinación de herramientas y técnicas de seguridad, incluidas las herramientas de AppSec, junto con un enfoque crítico y proactivo para garantizar la seguridad de las aplicaciones.
Por eso, es crucial que los desarrolladores busquen siempre la mejora continua de sus habilidades y conocimientos en seguridad y trabajen con expertos en la materia para garantizar la protección de sus aplicaciones.
Si deseas saber más acerca de las soluciones de seguridad de aplicaciones, te invitamos a ponerte en contacto con un especialista de Checkmarx para una demonstración en español. Juntos podemos trabajar para garantizar que tus aplicaciones sean seguras, confiables y de alta calidad.
Comments