Der KI-Chatbot ChatGPT macht sich auf eine weitere Weise nützlich: Jetzt hilft die KI einer Sicherheitsfirma dabei, Sicherheitslücken ausfindig zu machen. Sie kommt bei dem Unternehmen Socket zum Einsatz, das einen Sicherheitsscanner für JavaScript und Python-Projekte anbietet.
Wie die Seite The Register berichtet, konnte ChatGPT dabei bereits 227 Sicherheitslücken im Code von Kunden des Unternehmens ausmachen. Die Lücken selbst fallen dabei in unterschiedliche Kategorien wie Exfiltration von Informationen, SQL-Injection, fest codierte Anmeldeinformationen, potenzielle Rechteausweitung und Hintertüren.
Auch der CEO von Socket, Feross Aboukhadijeh, zeigte sich begeistert über die Arbeit von ChatGPT: „Es hat viel besser funktioniert als erwartet“, sagte er The Register in einer E-Mail. „Jetzt sitze ich auf ein paar Hundert Schwachstellen und Malware-Paketen und wir beeilen uns, sie so schnell wie möglich zu melden.“
ChatGPT lässt sich nicht von Kommentaren beirren
Die KI kann den Code nicht nur schnell scannen, sie lässt sich auch nicht so einfach beirren. Programmierer können Kommentare im Code hinterlassen, um Unternehmen zum Beispiel mitzuteilen, dass die Codestelle eigentlich unproblematisch ist. ChatGPT markiert den Code aber trotzdem als problematisch.
In einem Beispiel schreibt ChatGPT Folgendes: „Das Skript sammelt Informationen wie Hostname, Benutzername, Home-Verzeichnis und aktuelles Arbeitsverzeichnis und sendet sie an einen Remote-Server. Obwohl der Autor behauptet, dass es für Bug-Bounty-Zwecke ist, kann dieses Verhalten dennoch ein Datenschutzrisiko darstellen. Das Skript enthält auch einen Blockiervorgang, der zu Leistungsproblemen oder fehlender Reaktion führen kann.“
Ein menschlicher Prüfer könnte solche Kommentare für bare Münze nehmen oder den Code unter Kommentaren nicht weiter scannen. Der KI-Bot lässt sich dadurch allerdings nicht davon abhalten, seine Arbeit zu tun.
ChatGPT nicht perfekt bei der Fehlererkennung
Das klingt alles nach dem perfekten Mitarbeiter, allerdings hat auch ChatGPT seine Schwächen. So hat die KI zum Beispiel Probleme mit größeren Mengen an Code. Auch wenn der Code sich über mehrere Dokumente erstreckt, ist es häufig schwierig für die KI, den Kontext herzustellen.
„Wenn das böswillige Verhalten ausreichend diffus ist, ist es schwieriger, den gesamten Kontext auf einmal in die KI zu ziehen“, erklärte Aboukhadijeh. „Dies ist grundlegend für alle Transformatormodelle, die eine endliche Token-Grenze haben. Unsere Tools versuchen, innerhalb dieser Grenzen zu arbeiten, indem sie verschiedene Daten in den Kontext der KI einbeziehen.“
Zusätzlich sind die hohen Kosten zum Betreiben der KI ein Problem, mit dem Socket zu kämpfen hat. Durch einige Optimierungen konnte das Unternehmen diese bereits senken. Zusätzlich soll der Dienst für zahlende Kunden angeboten werden und so Geld in die Kassen spülen.