Un’importante sfida in termini di sicurezza per le organizzazioni di tutte le dimensioni è la capacità di individuare e risolvere rapidamente potenziali vulnerabilità nel software. Secondo Vicarius, una startup di sicurezza informatica con sede a New York, una soluzione efficace potrebbe derivare dall’impiego di modelli generativi di linguaggio di intelligenza artificiale di grandi dimensioni (LLM).
Fondata nel 2016, Vicarius sta sviluppando una piattaforma di gestione delle vulnerabilità che assiste le aziende nell’affrontare potenziali problematiche e migliorare la loro sicurezza informatica.
In occasione della conferenza sulla sicurezza Black Hat a Las Vegas, Vicarius ha annunciato un nuovo passo: l’iniziativa vuln_GPT. Questo LLM è stato progettato per aiutare le organizzazioni a individuare e creare rapidamente script per la gestione e la correzione delle vulnerabilità utilizzando query semplici. La comunità di Vicarius, chiamata vsociety, offre uno spazio in cui ricercatori e utenti possono collaborare, contribuendo con soluzioni per le vulnerabilità di sicurezza note.
Il CEO di Vicarius, Michael Assraf, ha notato che dopo il debutto di ChatGPT nel 2022, alcuni ricercatori avevano cominciato a utilizzare l’IA generativa per sviluppare script rapidamente. Questa constatazione ha spinto l’azienda a costruire il proprio motore di intelligenza artificiale, noto come vuln_gpt.
Assraf ha spiegato che vuln_GPT sfrutta sia i dati di Vicarius che quelli di OpenAI, quest’ultima nota per le sue capacità di generazione di codice. Vicarius sta inoltre esplorando altri LLM, inclusi LLaMA di Meta e StarCoder di HugginFace/ServiceNow, che potrebbero essere impiegati in futuro.
Quando un utente interagisce con il sistema vuln_GPT, viene eseguita una ricerca nel database vettoriale di Vicarius per verificare l’esistenza di correzioni simili o identiche alla query. Ad esempio, un utente potrebbe richiedere uno script per risolvere o rilevare una specifica vulnerabilità nota con l’identificatore Common Vulnerabilities and Exposures (CVE). L’IA è in grado di rispondere utilizzando script già esistenti o creandone di nuovi sulla base dei dati di addestramento.
Tutti gli script nella comunità vsociety e sulla piattaforma commerciale VRx di Vicarius vengono convalidati prima della pubblicazione. Inoltre, la partecipazione umana nel ciclo di sviluppo di vuln_GPT è un elemento centrale del processo. Assraf ha spiegato che attraverso un sistema interno chiamato vadmin, è possibile correggere eventuali errori o incongruenze nel modello generativo prima di renderli pubblici.
La risoluzione delle vulnerabilità non si limita sempre alle tradizionali patch software. A volte, un approccio efficace consiste nell’implementare controlli compensativi che riducano il rischio. In tal senso, il modello vuln_GPT può essere sfruttato per generare tali controlli in modo altamente efficiente. Ad esempio, se viene rilevata una vulnerabilità in un’applicazione basata su sistema operativo Linux, vuln_GPT può generare rapidamente uno script per disattivare una funzionalità nel kernel Linux, eliminando così l’exploit.
Michael Assraf ha concluso affermando che questa approccio offre un’alternativa sensata alle aziende che preferiscono evitare patch complesse e rischiose durante periodi di cambiamento o transizione nei loro processi operativi.