Kelahiran teknologi AI dalam China telah dengan jelas mengirim gelombang kejutan ke seluruh industri, banyak yang memujinya sebagai alternatif yang lebih cepat, lebih pintar, dan lebih murah daripada LLM yang dibangun dengan baik.

Namun, mirip dengan kereta pengereman yang telah kita lihat (dan bahwa kita terus melihat) untuk kapasitas Openai dan ChatGPT saat ini dan di masa depan, kenyataan kecakapannya adalah suatu tempat antara demonstrasi terkontrol yang mempesona dan disfungsi yang signifikan, khususnya dari sudut pandang keamanan.

Penelitian terbaru dari APPSOC telah mengungkapkan kegagalan kritis di beberapa bidang, termasuk sensitivitas terhadap jailbreak, injeksi cepat dan toksisitas keamanan lainnya, dengan para peneliti yang sangat terganggu oleh kemudahan yang dapat dibuat oleh malware dan virus menggunakan alat tersebut. Ini membuatnya terlalu berisiko bagi bisnis dan bisnis, tetapi tidak akan mencegahnya digunakan, seringkali tanpa sepengetahuan atau persetujuan kepemimpinan keamanan bisnis.

Dengan sekitar 76% pengembang menggunakan atau menyediakan untuk menggunakan alat AI dalam proses pengembangan perangkat lunak, risiko keamanan yang didokumentasikan dengan baik dari banyak model AI harus menjadi prioritas tinggi untuk secara aktif mengurangi, dan adopsi tinggi dan posisi adopsi yang cepat dari Deepseek, vektor ancaman potensial yang sulit. Namun, jaminan dan arahan yang tepat dapat menarik jahitan pengaman ekor jangka panjang.

Deepseek: Mitra pemrograman pasangan yang ideal?

Salah satu kasus penggunaan yang mengesankan pertama untuk Deepseek adalah kemampuannya untuk menghasilkan kode fungsional berkualitas ke standar yang dianggap lebih baik daripada LLMS open-source lainnya melalui pemiliknya Deepseek Coder Tool. Halaman GitHub Deepseek Coder:

“Kami menilai deepseek coder pada berbagai referensi yang terkait dengan pengkodean. Hasilnya menunjukkan bahwa Deepseek-Coder-Base-33B sangat melampaui LLMS kode sumber terbuka yang ada. »»

Hasil yang luas dari tes pada halaman menawarkan bukti nyata bahwa Deepseek Coder adalah pilihan yang solid terhadap LLM pesaing, tetapi bagaimana cara kerjanya di lingkungan pengembangan nyata? David Gewirtz de Zdnet telah melakukan beberapa tes pengkodean dengan Deepseek V3 dan R1, dengan hasil yang dicampur dengan tegas, termasuk kegagalan murni dan sederhana dan output kode verbose. Meskipun ada lintasan yang menjanjikan, tampaknya cukup jauh dari pengalaman transparan yang ditawarkan dalam banyak demonstrasi terorganisir.

Dan kami hampir tidak membahas pengkodean yang aman. Perusahaan cybersecurity telah mengungkapkan bahwa teknologi memiliki tenggat waktu yang mengirim informasi pengguna secara langsung ke server milik pemerintah Cina, menunjukkan bahwa itu adalah risiko yang signifikan terhadap keamanan nasional. Selain kegemaran untuk penciptaan malware dan kelemahan dalam menghadapi upaya jailbreak, Deepseek akan mengandung kriptografi yang sudah ketinggalan zaman, membuatnya rentan terhadap paparan yang peka terhadap data dan injeksi SQL.

Perhaps we can assume that these elements will improve in subsequent updates, but the independent comparative analysis of Baxbench, as well as recent research collaboration between academics in China, Australia and New Zealand reveal that in general, AI assistants do not produce a security code, with Baxbench in particular indicating that no current code is ready for dari perspektif keamanan. Dalam semua kasus, pengembang keamanan akan diwajibkan pertama -tama untuk mendeteksi masalah, belum lagi mengurangi mereka.

Masalahnya adalah bahwa pengembang akan memilih model IA akan melakukan pekerjaan tercepat dan termurah. Deepseek fungsional dan terutama gratis, untuk fitur dan kapasitas yang cukup kuat. Saya tahu bahwa banyak pengembang sudah menggunakannya, dan dengan tidak adanya peraturan keamanan individu atau kebijakan keamanan yang melarang pemasangan alat, banyak orang lain akan mengadopsinya, hasil akhirnya adalah bahwa limbah atau kerentanan potensial akan masuk ke karya kode pekerjaan.

Tidak dapat ditaksir terlalu tinggi bahwa pengembang keamanan yang memenuhi syarat yang mengambil keuntungan dari AI akan mendapat manfaat dari produktivitas supercharged, menghasilkan kode yang baik pada tingkat dan volume yang lebih tinggi. Pengembang yang terampil rendah, bagaimanapun, akan mencapai tingkat produktivitas dan volume yang sama, tetapi akan mengisi standar dengan kode yang buruk dan mungkin dapat dieksploitasi. Perusahaan yang tidak secara efektif mengelola risiko pengembang akan menjadi yang pertama menderita.

Shadow AI tetap menjadi pengekspan penting dari permukaan serangan perusahaan

CISO dimuat dengan baterai teknologi tentakuler dan mendominasi yang menciptakan lebih banyak kompleksitas dalam lingkungan bisnis yang sudah rumit. Menambah beban ini adalah potensi alat yang berisiko dan keluar -dari yang diperkenalkan oleh orang -orang yang tidak memahami dampak keamanan tindakan mereka.

Adopsi yang luas dan tidak terkendali – atau lebih buruk lagi, penggunaan “bayangan” rahasia dalam tim pengembangan meskipun ada batasan – adalah resep bencana. CISO harus menerapkan pagar dan alat yang disetujui yang disesuaikan dengan perusahaan meskipun undang-undang yang melemah atau tidak jelas, atau mengatasi konsekuensi dari racun penembakan cepat dalam tolok ukur mereka.

Selain itu, program keamanan modern harus membuat keselamatan berfokus pada pengembang sebagai kekuatan pendorong utama dalam pengurangan risiko dan kerentanan, yang berarti berinvestasi dalam peningkatan keamanan mereka yang berkelanjutan sehubungan dengan peran mereka.

Kesimpulan

Ruang AI berevolusi, tampaknya dengan kecepatan cahaya, dan meskipun kemajuan ini tidak diragukan lagi menarik, kami, sebagai profesional keamanan, tidak dapat kehilangan risiko yang terlibat dalam implementasi mereka di tingkat perusahaan. Deepseek lepas landas di seluruh dunia, tetapi untuk sebagian besar kasus penggunaan, ia memiliki risiko cyber yang tidak dapat diterima.

Pemimpin keamanan harus mempertimbangkan yang berikut:

• Kebijakan internal AI yang ketat: benar -benar melarang alat AI bukanlah solusi, karena banyak
  Pengembang akan menemukan cara untuk mengatasi pembatasan dan terus mengkompromikan
  bisnis. Menyelidiki, menguji dan menyetujui serangkaian kecil alat AI yang bisa aman
  digunakan sesuai dengan kebijakan AI yang sudah mapan. Mengotorisasi pengembang dengan keamanan yang terbukti
  Keterampilan untuk menggunakan AI pada standar kode tertentu dan melarang mereka yang belum pernah
  diverifikasi.
• Dengan cara belajar tentang keamanan yang dipersonalisasi untuk pengembang: pengembangan perangkat lunak adalah
  Perubahan dan pengembang harus tahu cara menavigasi dalam kerentanan dalam bahasa
  dan eksekutif yang mereka gunakan secara aktif, serta menerapkan pengetahuan keselamatan tenaga kerja ke yang ketiga
  Kode partai, apakah itu perpustakaan eksternal atau dihasilkan oleh asisten pengkodean AI. Jika
  Manajemen risiko berbagai aspek, termasuk pembelajaran berkelanjutan, bukan bagian dari
  Program keamanan perusahaan, sudah terlambat.
• Dapatkan Model Ancaman Serius: Sebagian besar perusahaan masih belum menerapkan ancaman
  Pemodelan dengan cara yang transparan dan fungsional, dan mereka tidak menyiratkan pengembang.
  Ini adalah kesempatan yang sangat baik untuk menggabungkan pengembang keamanan (bagaimanapun, mereka tahu mereka
  Kode yang terbaik) dengan rekan -rekan appsec mereka untuk latihan pemodelan ancaman yang lebih baik, dan
  Analisis vektor baru ancaman AI.