Выступая на конференции RSA в Сан-Франциско, исполнительный директор Национального центра кибербезопасности Великобритании (NCSC) Ричард Хорн заявил, что ИБ-индустрия должна использовать набирающую популярность разработку софта с помощью ИИ (известную как вайб-кодинг) для снижения коллективной уязвимости перед кибератаками.
«Преимущества вайб-кодинга очевидны. Изменение существующего положения дел с ПО, создаваемым вручную и постоянно подверженным уязвимостям, — это огромная возможность, хотя и сопряжённая с определёнными рисками, — пояснил он. — ИИ-инструменты, которые мы используем для разработки кода, должны быть обучены с самого начала таким образом, чтобы они не создавали и не распространяли непредвиденные уязвимости».
Параллельно технический директор по архитектуре в NCSC Дэвид Си опубликовал в блоге статью, в которой утверждает, что вайб-кодинг демонстрирует «проблески новой парадигмы», позволяющей «опытным разработчикам значительно повысить свою производительность». Он предсказал рост внедрения этой практики и призвал ИБ-специалистов начать уже сейчас осознавать риски и внедрять основные принципы безопасности, которые сделают софт менее уязвимым для атак.
Предложенные экспертом рекомендации включают:
- генерацию безопасного, защищённого кода «из коробки»;
- требование доказуемого происхождения модели, обеспечивающего отсутствие вредоносных бэкдоров в коде;
- проведение ИИ-анализа всего кода (написанного человеком и сгенерированного нейросетью) и сканирования на наличие уязвимостей;
- внедрение детерминированных механизмов защиты с помощью средств контроля, основанных на правилах;
- создание сред, которые изолируют и защищают от вредоносного кода (безопасные хостинговые платформы);
- предоставление боту возможности обрабатывать документацию, тесты, фаззинг и моделирование угроз для каждой программы (автоматизация гигиены безопасности).
Техдир NCSC подчеркнул необходимость начать внедрение некоторых из этих механизмов защиты уже сейчас, «не дожидаясь пяти лет будущего вайб-кодинга». Это могут быть самые мелкие задачи, такие как поддержание списка разрешённых URL-адресов, или более крупные — например, переписывание критически важных компонентов в среде.
Эксперт видит в данном инструменте «решение для организаций, которые были обеспокоены старыми проблемами облачных сервисов и избегали миграции все эти годы».
Усам Оздемиров
(1).jpg)