AI đang viết mã nhiều hơn bao giờ hết, nhưng điều này đang gây ra lỗ hổng bảo mật như thế nào?

Ảnh: Internet

Theo Fortune, “Hơn 25% mã của Google hiện nay được viết bởi AI – và Giám đốc điều hành Sundar Pichai nói rằng đây chỉ là khởi đầu”.

Các chương trình AI, plugin trình duyệt, ứng dụng di động và các ứng dụng web được hỗ trợ bởi AI đã đưa các lỗ hổng bảo mật vào một khu vực mà chúng ta chưa thấy kể từ khi sự bùng nổ của điện thoại thông minh trên thị trường vào đầu những năm 2000. Với mỗi nền tảng mới, một mã nguồn mới được hình thành. Điều này vô hình chung đưa ra những sai sót mới vào hệ sinh thái công nghệ.

Mỗi năm, ngày càng có nhiều lỗ hổng bảo mật được các nhà nghiên cứu an ninh phát hiện. “Cơn bùng nổ” trong xu hướng này cho thấy có một sự gia tăng đáng kể trong việc công bố lỗ hổng bảo mật từ năm 2021 trở đi. Tuy nhiên, ít ai đặt ra những câu hỏi quan trọng như: Tại sao những xu hướng này lại tăng trưởng nhanh đến như vậy?

Theo Ty Ward (chủ sở hữu của Credence Solutions Group LLC, cựu chuyên gia an ninh mạng của Không quân Mỹ và cựu thành viên Cơ quan Tình báo Mỹ), sự trợ giúp của trí tuệ nhân tạo trong việc viết, phát triển và sản xuất mã có thể có mối liên quan đến số lượng lỗ hổng mà chúng ta đang chứng kiến trong bối cảnh hiện nay. Một mặt, một số người có thể cho rằng việc sử dụng AI để tạo mã có thể giúp khắc phục các lỗi trong mã so với việc lập trình thủ công bởi con người. Tuy nhiên, theo kinh nghiệm của Ty Ward, việc lập trình được hỗ trợ bởi AI đang được sử dụng để cắt giảm các bước kiểm tra chất lượng, và điều này có thể sẽ trở thành một mối đe dọa trực tiếp đến chất lượng của các chương trình trên thị trường.

Hãy tưởng tượng, trong khoảng 4-5 năm tới, nếu một quốc gia hoặc tổ chức thù địch phát hiện ra các lỗi chung trong cách các mô hình AI phát triển mã, và họ có thể tận dụng những lỗ hổng này để khai thác mã do AI tạo ra. Điều này giống như việc có một lập trình viên duy nhất với phong cách riêng đang viết mã cho rất nhiều ứng dụng khác nhau, và nếu lập trình viên đó có lỗi trong phương pháp của mình, thì những lỗi đó có thể xuất hiện ở khắp mọi nơi.

Nếu lập trình viên này có một phương pháp sai sót mà chưa được phát hiện, các tác nhân thù địch sẽ có lý do để nghiên cứu và phân tích mã nguồn đó để xác định xem có những lỗi phổ biến nào hay không. Nếu điều này đúng, dù là trên quy mô nhỏ, nó có thể gây thảm họa cho nhiều ứng dụng đang vận hành các dịch vụ quan trọng.

Một lời kêu gọi hành động là cần thiết và đã quá muộn.

Cần phải thực hiện kiểm tra và giám sát chất lượng trong các quy trình phát triển để đảm bảo rằng mã được phát triển một phần hoặc hoàn toàn bởi các mô hình AI được xây dựng với tính toàn vẹn, bảo mật cứng và cơ sở vững chắc vì lợi ích chung của xã hội.

Có lý do rất cụ thể tại sao các cơ quan chính phủ lại cấm hoặc áp dụng các biện pháp kiểm soát nghiêm ngặt khi sử dụng AI trong phát triển mã. Rủi ro là có thật và chúng ta chưa hoàn toàn hiểu hết nó. Bỏ qua AI có nhận thức, nhân loại chưa rõ được những mục tiêu tổng thể mà các mô hình AI sẽ xây dựng khi chúng tiếp tục phát triển.

Các rào cản về AI hiện đang được xây dựng bởi các tổ chức như Ủy ban Tư vấn AI Quốc gia (NAIAC), nhưng chúng ta sẽ thật ngây thơ nếu nghĩ rằng bất kỳ nhóm nào cũng có thể hoàn toàn hiểu hết được toàn bộ lĩnh vực AI và những tiến triển gần xa của nó.

Ảnh: Internet

Vậy chúng ta sẽ làm gì và bắt đầu từ đâu?

• Đảm bảo tính trách nhiệm từ các nhà cung cấp phần mềm. Đặt câu hỏi khó và yêu cầu câu trả lời bằng văn bản: Bao nhiêu phần trăm mã của bạn được phát triển bởi AI? Bạn có sử dụng dữ liệu từ các chương trình đang chạy của tôi để huấn luyện các mô hình AI không? Dữ liệu của tôi đi đâu? Công ty của bạn có những chương trình hay chiến lược gì để đảm bảo rằng việc gỡ lỗi, kiểm tra bảo mật, xem xét mã và kiểm tra chất lượng được thực hiện với sự giám sát của con người?
• Có một kế hoạch dự phòng. Hãy nghĩ về các phần mềm quan trọng của bạn, ghi lại chúng và tìm các phương án thay thế trong trường hợp bạn phải “ngừng sử dụng” do những quyết định về rủi ro không thể chấp nhận. Sẽ có lúc bạn nhận ra rằng một nhà cung cấp phần mềm đang truyền tải thông tin nhạy cảm của bạn đến những bên thứ ba không đáng tin cậy hoặc thậm chí là các tác nhân thù địch quốc gia. Đừng để mình rơi vào tình trạng không có kế hoạch.
• Đọc kỹ các điều khoản. Đọc một lần, đọc lại và gửi cho luật sư của bạn để xem xét. Hàng triệu người sử dụng và mua công nghệ thường xuyên nhận được các thỏa thuận và điều khoản dịch vụ ban đầu, nhưng chúng ta thường bị tấn công bởi các bản cập nhật chính sách sau khi đã mua sản phẩm. Khi chúng ta trở nên phụ thuộc vào công nghệ, các nhà sản xuất thiết bị gốc (OEM) có cơ hội để cải tiến dịch vụ, thêm tính năng, khai thác nhiều dữ liệu hơn và cuối cùng là nâng cao giá trị cổ đông.

Hãy đọc các bản cập nhật và gửi chúng cho luật sư của bạn để xem xét. Thường thì bạn sẽ tìm thấy một số thay đổi thú vị về cách mà các nhà cung cấp phần mềm đang chia sẻ dữ liệu nhạy cảm của bạn với các bên thứ ba hoặc sử dụng chúng để cải thiện các mô hình AI của họ.

Mặc dù không thể tiên đoán chính xác tương lai, chúng ta có thể rút ra bài học từ ngành mạng xã hội và hiểu rằng dữ liệu luôn là vàng và sẽ luôn như vậy. Khi các mô hình AI ngày càng được cải thiện, nhiều dữ liệu sẽ được thu thập từ môi trường của bạn để thỏa mãn cơn khát ngày càng tăng về trí tuệ và khả năng.

Nếu có thể, hãy đảm bảo rằng các nhà cung cấp phần mềm đang sử dụng sự giám sát của con người trong việc phát triển mã (có nghĩa là con người hiểu mã họ đang bán cho bạn), biết rõ chính xác những gì mã đó làm và sở hữu độc quyền trong việc sản xuất mã này.