Ngành công nghệ đang chứng kiến xu hướng ngày càng tăng của việc sử dụng AI để bảo mật code được tạo ra bởi AI, nhưng những kết quả ban đầu cho thấy cách tiếp cận này có thể đang tạo ra nhiều vấn đề hơn là giải quyết chúng. Anthropic gần đây đã ra mắt tính năng Security Review của Claude , hứa hẹn sẽ xác định và sửa chữa các vấn đề bảo mật trong code. Tuy nhiên, việc thử nghiệm thực tế cho thấy những hạn chế đáng kể trong các công cụ bảo mật hỗ trợ bởi AI này.
Khả Năng Phát Hiện Hạn Chế Gây Lo Ngại
Việc thử nghiệm tính năng đánh giá bảo mật của Claude cho thấy nó chủ yếu phát hiện các lỗ hổng cơ bản từ danh sách OWASP Top 10 - những vấn đề tương tự mà các công cụ phân tích tĩnh truyền thống đã phát hiện trong nhiều năm qua. Khi được thử nghiệm trên các tiện ích mở rộng trình duyệt và ứng dụng web, công cụ AI đã bỏ lỡ một số mối lo ngại bảo mật tiềm ẩn trong khi đưa ra những đánh giá quá lạc quan. Mô hình này cho thấy rằng các công cụ bảo mật AI hiện tại về cơ bản đang đóng gói lại các khả năng phân tích tĩnh hiện có với thương hiệu AI hào nhoáng.
OWASP Top 10: Một danh sách tiêu chuẩn về những rủi ro bảo mật ứng dụng web quan trọng nhất, được cập nhật thường xuyên bởi các chuyên gia bảo mật trên toàn thế giới.
So sánh Công cụ Bảo mật AI:
- Claude Security Review: Tập trung vào các lỗ hổng OWASP Top 10, tương tự như phân tích tĩnh truyền thống
- Datadog Code Analysis: Cung cấp xác thực thứ cấp nhưng cho thấy các mẫu phát hiện tương tự
- Phân tích Tĩnh Truyền thống: Vẫn phát hiện được những lỗ hổng cơ bản giống như các công cụ AI
 |
|---|
| Ảnh chụp màn hình này từ bảng điều khiển Code Security của GitHub minh họa chức năng của các công cụ phát hiện lỗ hổng bảo mật mã nguồn được sử dụng trong đánh giá bảo mật |
Lãnh Đạo Doanh Nghiệp Thúc Đẩy Việc Áp Dụng AI Rủi Ro
Cuộc thảo luận cộng đồng tiết lộ một mô hình đáng lo ngại trong môi trường doanh nghiệp nơi các giám đốc điều hành đang thúc đẩy việc áp dụng AI mà không hiểu rõ các rủi ro. Các công ty đang tích hợp AI vào các quy trình kinh doanh quan trọng bao gồm tuyển dụng, thanh toán và hệ thống tuân thủ. Sự vội vàng triển khai các giải pháp AI này thường xuất phát từ ban lãnh đạo, những người coi AI như một giải pháp kỳ diệu cho mọi vấn đề, kể cả những vấn đề do chính AI tạo ra.
Theo ban lãnh đạo cấp cao của công ty tôi, không có gì mà bụi phép thuật của AI không thể giải quyết. Ngay cả những vấn đề với AI cũng có thể được giải quyết bằng nhiều AI hơn.
Hậu Quả Thực Tế Đã Bắt Đầu Xuất Hiện
Những người áp dụng sớm các hệ thống hỗ trợ bởi AI đã đối mặt với những hậu quả nghiêm trọng. UnitedHealth Group gần đây đã đối mặt với một vụ kiện tập thể cáo buộc thuật toán AI của họ từ chối một cách có hệ thống các yêu cầu bồi thường chăm sóc kéo dài của bệnh nhân cao tuổi. Trường hợp này làm nổi bật cách các hệ thống AI có thể tạo ra rủi ro pháp lý và tài chính khi được triển khai trong các vai trò ra quyết định quan trọng mà không có sự giám sát thích hợp.
Sự cố trong lĩnh vực chăm sóc sức khỏe chứng minh rằng khi các hệ thống AI thất bại trong môi trường sản xuất, hậu quả vượt xa những trục trặc kỹ thuật để ảnh hưởng đến cuộc sống thực của con người và tạo ra trách nhiệm pháp lý đáng kể cho các công ty.
Các Lĩnh Vực Rủi Ro Chính Đối Với Công Cụ Bảo Mật AI:
- Các vấn đề bảo mật của tiện ích mở rộng trình duyệt
- Lỗ hổng ứng dụng phức tạp
- Các mối quan ngại bảo mật theo ngữ cảnh cụ thể
- Các mẫu bảo mật chưa biết không có trong dữ liệu huấn luyện
- Đánh giá dương tính giả/âm tính giả
Phòng Thủ Nhiều Lớp Vẫn Là Yếu Tố Thiết Yếu
Các chuyên gia bảo mật nhấn mạnh rằng các công cụ AI nên được xem như chỉ là một thành phần trong chiến lược bảo mật toàn diện. Các cách tiếp cận truyền thống như đánh giá code của con người, kiểm thử bảo mật ứng dụng tĩnh, kiểm thử động và đảm bảo chất lượng mở rộng vẫn rất quan trọng. Cách tiếp cận hiệu quả nhất kết hợp nhiều lớp bảo mật thay vì chỉ dựa vào các giải pháp hỗ trợ bởi AI.
Một số chuyên gia đã tận dụng xu hướng này, với các công ty bảo mật báo cáo lợi nhuận tăng từ việc dọn dẹp các vấn đề bảo mật liên quan đến AI. Điều này cho thấy một thị trường đang phát triển cho các dịch vụ giải quyết những vấn đề được tạo ra bởi việc triển khai AI vội vàng.
Tình trạng hiện tại của các công cụ bảo mật AI đại diện cho giai đoạn phát triển ban đầu nơi công nghệ cho thấy triển vọng nhưng thiếu sự trưởng thành cần thiết cho các ứng dụng quan trọng. Các tổ chức đang xem xét các giải pháp bảo mật hỗ trợ bởi AI nên duy trì kỳ vọng thực tế và đảm bảo các hệ thống dự phòng mạnh mẽ vẫn được duy trì.
Tham khảo: Letting inmates run the asylum: Using AI to secure AI
 |
|---|
| Ảnh chụp màn hình này của một đánh giá bảo mật minh họa việc đánh giá các lỗ hổng được xác định trong một ứng dụng máy chủ, cho thấy tầm quan trọng của các chiến lược bảo mật truyền thống cùng với các công cụ AI |