Se invita a la comunidad de seguridad a explorar el potencial de la inteligencia artificial generativa (IA) para actuar como una herramienta útil en sus esfuerzos de investigación, con el lanzamiento de una serie de herramientas prototipo desarrolladas por Tenable, que ahora están disponibles para consultar en Github. .
En un informe adjunto titulado Cómo la IA generativa está cambiando la investigación en seguridadel equipo de investigación de la empresa comparte cómo ha estado experimentando con aplicaciones de IA generativa para crear eficiencias en ingeniería inversa, depuración de código, seguridad de aplicaciones web y visibilidad de herramientas basadas en la nube.
Tenable, que se describe a sí misma como una empresa de “gestión de la exposición”, dijo que herramientas como las basadas en el último modelo de transformador preentrenado generativo de OpenAI, GPT-4, ahora tienen potencialmente capacidades a la par con las de un “investigador de seguridad de nivel medio”. .
Pero, como explicó el director de respuesta de seguridad e investigación de día cero de Tenable, Ray Carney, en el preámbulo del informe, incluso OpenAI admite que GPT-4 tiene limitaciones similares a los modelos GPT anteriores, particularmente en cuanto a la confiabilidad y los sesgos que surgen como resultado de las experiencias del modelo. cómo se entrenó, datos de entrenamiento incompletos e imperfectos y sesgos cognitivos entre los desarrolladores del modelo.
Sumado a esto, dijo, uno debe considerar los sesgos cognitivos de las personas que consultan el modelo: hacer las preguntas correctas se convierte en “el factor más crítico” en la probabilidad de que uno reciba una respuesta correcta.
Esto, dijo Carney, se relaciona con los investigadores de seguridad, porque el papel de esas personas es ofrecer datos oportunos y precisos a los tomadores de decisiones.
“En la búsqueda de este objetivo, el analista debe procesar e interpretar colecciones de datos incompletos y ambiguos para producir juicios analíticos sólidos y bien fundados”, escribió. “A lo largo de muchos años y muchos fracasos, la comunidad analítica ha desarrollado un conjunto de herramientas comúnmente conocidas como ‘técnicas analíticas estructuradas’ que ayudan a mitigar y minimizar el riesgo de equivocarse y evitar decisiones mal informadas.
“Las advertencias planteadas por OpenAI en su anuncio de GPT-4 constituyen un sólido argumento a favor de la aplicación de estas técnicas”, continuó Carney. “De hecho, es solo a través de la aplicación de este tipo de técnicas que finalmente produciremos un conjunto de datos bien refinado para entrenar modelos futuros en el dominio de la seguridad cibernética.
“Este tipo de técnicas también ayudarán a los investigadores a asegurarse de que están ajustando sus indicaciones para esos modelos, que están haciendo las preguntas correctas”, dijo. “Mientras tanto, los investigadores de seguridad pueden continuar investigando cómo aprovechamos las capacidades de IA generativa para tareas más mundanas con el fin de liberar tiempo para que los investigadores y analistas inviertan su tiempo en las preguntas más difíciles que requieren su experiencia en la materia para desentrañar críticas. contexto.”
La primera herramienta que se les ocurrió se llama G-3PO. Esta herramienta se basa en el marco de ingeniería inversa Ghidra desarrollado por la NSA que se ha convertido en un favorito perenne entre los investigadores desde que se desclasificó y estuvo ampliamente disponible en la década de 2010. Realiza una serie de funciones cruciales, incluido el desensamblado binario en listados de lenguaje ensamblado, la reconstrucción de gráficos de flujo de control y la descompilación de listados ensamblados en algo que al menos se asemeja a un código.
Sin embargo, para usar Ghidra, todavía es necesario poder analizar meticulosamente el código descompilado comparándolo con la lista de ensamblaje original, agregando comentarios y asignando nombres descriptivos a las variables y funciones.
Aquí, G-3PO toma la batuta, ejecutando el código descompilado a través de un modelo de lenguaje grande (LLM) para obtener una explicación de lo que hace la función junto con sugerencias para nombres de variables descriptivos.
Tenable dijo que esta funcionalidad permitiría a un ingeniero “obtener una comprensión rápida y de alto nivel de la funcionalidad del código sin tener que descifrar primero cada línea”. Luego pueden concentrarse en las regiones de código más preocupantes para un análisis más profundo.
Dos de las otras herramientas, AI for Pwndbg y AI for GEF, son asistentes de depuración de código que actúan como complementos para dos populares marcos de extensión de GNU Debugger (GDB), Pwndbg y GEF. Estas herramientas interactivas reciben varios puntos de datos, como registros, valores de pila, seguimiento inverso, ensamblado y código descompilado, que pueden ayudar a un investigador a explorar el contexto de depuración. Todo lo que el investigador tiene que hacer es hacerle preguntas, como “¿qué está pasando aquí?” o “¿esta función parece vulnerable?”
Tenable dijo que estas herramientas ayudarían a resolver el problema de navegar por la curva de aprendizaje empinada asociada con la depuración, convirtiendo a GDB en una interfaz más conversacional donde los investigadores pueden discutir esencialmente lo que está sucediendo sin la necesidad de descifrar los datos de depuración sin procesar. La herramienta no es perfecta, pero ha mostrado resultados prometedores en la reducción de la complejidad y el tiempo, y Tenable espera que también pueda usarse como un recurso educativo.
Otras herramientas que están disponibles incluyen BurpGPT, una extensión de Burp Suite que permite a los investigadores usar GPT para analizar solicitudes y respuestas HTTP, y EscalateGPT, una herramienta impulsada por IA que detecta errores de configuración en las políticas de administración de identidad y acceso (IAM) para entornos de nube, uno de las preocupaciones más comunes y pasadas por alto entre las empresas, y utiliza GPT para identificar posibles oportunidades de escalamiento y mitigaciones.
Resquicio de esperanza
Tenable dijo que si bien era de esperar que los actores de amenazas se aprovecharan de la IA generativa, y probablemente solo era cuestión de tiempo antes de que se materializara la amenaza del malware confiable escrito por IA, hay un lado positivo en el hecho de que sigue siendo una “amplia oportunidad” para que los defensores también aprovechen la IA generativa.
De hecho, en algunos aspectos, como el análisis de registros, la detección de anomalías, la clasificación y la respuesta a incidentes, incluso podrían tomar la delantera.
“Si bien solo estamos al comienzo de nuestro viaje en la implementación de IA en herramientas para la investigación de seguridad, está claro que las capacidades únicas que brindan estos LLM continuarán teniendo un impacto profundo tanto para los atacantes como para los defensores”, escribió el equipo de investigación.