LLM: 보안 코딩에 대한 완벽한 인간의 접근 방식일까요?

이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.

‍

문화를 뒤흔드는 최신 AI 도구에 대한 초창기부터 개발자와 코딩에 관심이 있는 사람들 모두 버튼 하나만 누르면 코드를 생성하는 데 이 도구를 사용해 왔습니다.보안 전문가들은 대부분의 경우 제작 중인 코드가 다음과 같다는 점을 재빨리 지적했습니다. 품질이 좋지 않고 취약합니다.보안에 대한 인식이 거의 없는 사용자의 손에 넘어가면 안전하지 않은 앱과 웹 개발이 쏟아져 나와 순진한 소비자에게 피해를 줄 수 있습니다.

그리고 보안 지식을 충분히 가지고 있어서 악의적인 용도로 사용하는 사람들도 있습니다.모든 놀라운 AI 위업에도 불구하고 동일한 기술이 사용된다는 점에서 역효과가 있는 것 같습니다. 악의적인 목적.피싱, 딥 페이크 스캠 동영상, 멀웨어 제작, 일반적인 스크립트로 엉망인 속임수... 이러한 파괴적인 활동은 진입 장벽이 낮아 훨씬 빠르게 달성할 수 있습니다.

이 도구를 혁신적이라고 선전하는 클릭베이트가 많거나 적어도 “평균적인” 인간의 기술과 비교할 때 정상에 오를 수 있다고 선전하는 클릭베이트가 많이 있습니다.LLM 스타일의 AI 기술이 소프트웨어 개발뿐만 아니라 업무의 여러 측면에 접근하는 방식을 바꾸는 것은 불가피해 보이지만, 우리는 한 발 물러서서 헤드라인 너머의 위험을 고려해야 합니다.

코딩 동반자로서 이 제품의 결점은 아마도 가장 '인간적인' 특성일 것입니다.

잘못된 코딩 패턴이 주요 솔루션을 지배합니다.

ChatGPT가 수십 년간 쌓아온 기존 코드와 지식 베이스를 기반으로 학습했기 때문에, ChatGPT가 그 모든 경이로움과 미스터리에도 불구하고 사람들이 코드를 탐색할 때 직면하는 일반적인 함정에 시달린다는 것은 놀라운 일이 아닙니다.잘못된 코딩 패턴은 필수이며, 올바른 질문을 하고 적절한 즉각적인 엔지니어링을 제공하여 보안 코딩 예제를 생성하려면 여전히 보안을 잘 아는 드라이버가 필요합니다.

그럼에도 불구하고 제공된 코드 스니펫이 보안 관점에서 정확하고 기능적이라는 보장은 없습니다. 이 기술은 환각 현상을 일으키기 쉽습니다. 존재하지 않는 라이브러리 구성 마이크 셰마가 발견한 특정 JSON 작업을 수행하라는 요청을 받았을 때이로 인해 위협 행위자들의 '환각 스쿼팅'이 발생할 수 있습니다. 위협 행위자는 ChatGPT에서 자신있게 추천한 조작된 라이브러리로 위장한 멀웨어를 너무 기꺼이 만들어낼 수 있습니다.

궁극적으로 우리는 일반적으로 개발자들이 보안에 대해 충분히 인식할 것으로 기대하지 않았으며, 업계로서 보안 코드를 기본 상태로 작성하도록 적절하게 준비하지도 못했다는 현실을 직시해야 합니다.이는 ChatGPT에 입력되는 어마어마한 양의 학습 데이터에서도 분명하게 드러날 것이며, 적어도 초기에는 그 결과에서도 이와 비슷한 부실한 보안 결과를 기대할 수 있습니다.개발자는 보안 버그를 식별하여 직접 수정하거나 더 강력한 결과를 위해 더 나은 프롬프트를 설계할 수 있어야 합니다.

첫 번째 대규모 사용자 연구 스탠포드 대학의 연구원들이 수행한 다양한 보안 관련 기능을 해결하기 위해 사용자가 AI 코딩 어시스턴트와 상호 작용하는 방식을 조사한 결과 이 개념을 뒷받침하며, 한 가지 관찰 결과는 다음과 같습니다.

”AI 어시스턴트에 액세스할 수 있는 참가자는 대부분의 프로그래밍 작업에서 보안 취약점을 도입할 가능성이 더 높았지만, 대조군에 속한 참가자에 비해 안전하지 않은 답변을 안전하다고 평가할 가능성도 더 높다는 것을 관찰했습니다..”

이는 AI 코딩 도구의 출력에 대한 기본 신뢰 수준을 말해주는데, 이는 항상 본질적으로 안전하지 않지만 실제로는 안전하지 않은 코드를 생성한다는 의미입니다.

이 위협과 미래에 스며들 피할 수 없는 AI 기반 위협 사이에서 개발자들은 이제 그 어느 때보다 보안 기술을 연마하고 출처를 불문하고 코드 품질에 대한 기준을 높여야 합니다.

데이터 유출 재해로 가는 길은 좋은 의도로 포장되어 있습니다

AI 코딩 컴패니언이 인기가 있다는 것은 놀라운 일이 아닙니다. 특히 개발자들은 점점 더 많은 책임과 촉박한 마감일, 회사의 혁신에 대한 야망이 어깨에 달려 있는 상황에서 더욱 그렇습니다.그러나 아무리 좋은 의도를 가지고 있더라도 코딩에 AI를 사용할 때 실행 가능한 보안 인식이 부족하면 필연적으로 심각한 보안 문제가 발생할 수밖에 없습니다.AI/ML 도구를 사용하는 모든 개발자는 더 많은 코드를 생성하게 되며, 보안 위험 수준은 기술 수준에 따라 달라집니다.조직은 교육을 받지 않은 사람이 코드를 더 빠르게 생성할 수 있지만 기술 보안 부채의 속도도 증가할 것이라는 점을 잘 알고 있어야 합니다.

ChatGPT를 사용한 사전 테스트 (2023년 4월) 에서도 이 경우 치명적인 결과를 초래할 수 있는 아주 기본적인 실수가 발생할 수 있다는 사실이 밝혀졌습니다.MySQL 데이터베이스를 사용하여 PHP로 로그인 루틴을 구축하도록 요청했을 때 함수 코드가 빠르게 생성되었습니다.하지만 기본적으로 암호를 데이터베이스에 일반 텍스트로 저장하고, 데이터베이스 연결 자격 증명을 코드에 저장하고, SQL 인젝션을 초래할 수 있는 코딩 패턴을 사용했습니다 (하지만 입력 매개 변수에 대해 일정 수준의 필터링을 수행하고 데이터베이스 오류를 찾아냈지만).어떤 척도에서든 모든 신인 오류는 다음과 같습니다.
‍

‍
추가 프롬프트를 통해 실수를 수정했지만 과정을 수정하려면 상당한 보안 지식이 필요합니다.이러한 도구를 확인하지 않고 널리 사용하는 것은 후배 개발자를 프로젝트에 참여시키는 것보다 낫지 않습니다. 만약 이 코드가 민감한 인프라를 구축하거나 개인 데이터를 처리하는 것이라면 시한폭탄이 터지는 셈입니다.

물론 주니어 개발자들이 시간이 지남에 따라 기술이 향상되는 것처럼 AI/ML 기능도 향상될 것으로 예상됩니다.지금으로부터 1년 후에는 그렇게 명백하고 단순한 보안 실수를 범하지 않을 수도 있습니다.하지만 이를 통해 여전히 발생할 위험이 있는 더 심각하고, 숨겨져 있고, 사소하지 않은 보안 오류를 찾아내는 데 필요한 보안 기술이 크게 향상될 것입니다.

우리는 여전히 보안 취약점을 찾아 수정할 준비가 제대로 되어 있지 않으며 AI는 격차를 넓힙니다.

이 시점에서 수년 동안 '좌익의 전환'에 대한 논의가 많았지만, 대부분의 조직에서 개발 집단 사이에 실질적인 보안 지식이 크게 부족하다는 사실은 변함이 없습니다. 따라서 우리는 조직의 발전에 도움이 되는 적절한 도구와 교육을 제공하기 위해 더 많은 노력을 기울여야 합니다.

현재로서는 익숙한 보안 버그에 대한 준비가 되어 있지 않습니다. 들불처럼 도래할 완전히 새로운 공격 경로를 나타내는 프롬프트 인젝션 및 환각 스쿼팅과 같은 새로운 AI 관련 문제는 말할 것도 없습니다.AI 코딩 도구는 개발자의 코딩 무기의 미래를 대표하지만, 이러한 생산성 무기를 안전하게 사용할 수 있는 교육은 지금부터 시작해야 합니다.

‍