Google Cloud ใช้ AI agent รักษาความปลอดภัยตลอดวงจรซอฟต์แวร์
Google Cloud เปิดเผยการใช้ AI agent เพื่อรักษาความปลอดภัยภายในวงจรการพัฒนาซอฟต์แวร์ของตน โดยระบบอัตโนมัติครอบคลุมการตรวจสอบช่องโหว่ การทดสอบ และการแก้ไข
Google Cloud ได้เปิดเผยว่าบริษัทใช้ AI agent ภายในองค์กรอย่างไรเพื่อรักษาความปลอดภัยตลอดวงจรการพัฒนาซอฟต์แวร์ (SDLC) ด้วยระบบอัตโนมัติในการตรวจสอบช่องโหว่ การทดสอบ และการแก้ไขแพตช์ในระบบการพัฒนาและการผลิต
ตามข้อมูลของ Chris Betz หัวหน้าเจ้าหน้าที่ฝ่ายสารสนเทศด้านความปลอดภัย และ Ruchi Shah ผู้อำนวยการอาวุโสฝ่ายวิศวกรรมความปลอดภัย ระบบนี้ครอบคลุมการตรวจสอบการออกแบบผลิตภัณฑ์ การสแกนโค้ด การทดสอบแบบ Fuzz testing การสร้างแพตช์ และการจัดการสถานะการผลิต
ในขั้นตอนการออกแบบ ทีมวิศวกรจะส่งการเปิดตัวผลิตภัณฑ์ผ่านกระบวนการตรวจสอบความปลอดภัยที่ใช้ AI agent ซึ่งจะตรวจสอบแผนผลิตภัณฑ์กับรายการควบคุมที่มีข้อกำหนดด้านความปลอดภัยมากกว่า 200 รายการ ปัญหาที่มีความเสี่ยงสูงจะถูกส่งต่อให้วิศวกรที่เป็นมนุษย์จัดการ ในขณะที่ข้อมูลผลิตภัณฑ์ที่อัปเดตอย่างต่อเนื่องจะเข้ามาแทนที่โมเดลภัยคุกคามแบบคงที่
Google Cloud ระบุว่าโมเดลนี้สะท้อนให้เห็นถึงการเปลี่ยนแปลงที่กว้างขึ้นในงานความปลอดภัย เนื่องจาก AI ได้เข้ามาเปลี่ยนอัตราความเร็วของการโจมตีซอฟต์แวร์ ในรายงานเกี่ยวกับโครงการภายในองค์กร ระบุว่ากรอบเวลาการแก้ไขแบบเดิมแคบลง เนื่องจากผู้โจมตีใช้เครื่องมืออัตโนมัติในการค้นหาและใช้ประโยชน์จากช่องโหว่ได้เร็วยิ่งขึ้น
การสแกนโค้ด
ส่วนสำคัญของโครงการคือ Mantis ซึ่งเป็นเฟรมเวิร์กแบบหลาย AI agent สำหรับการวิเคราะห์พื้นที่เก็บข้อมูล (repository analysis) ที่ Google ได้เผยแพร่เป็นซอฟต์แวร์โอเพนซอร์สด้วย ภายในองค์กร Google Cloud ใช้ระบบเวอร์ชันที่กว้างกว่าเพื่อตรวจสอบฐานโค้ดผ่านลำดับชั้นของสรุป แทนที่จะดูทุกไฟล์ทั้งหมด
วิธีการนี้ช่วยลดค่าใช้จ่ายด้านโทเค็นได้มากกว่า 85% ในขณะที่ยังคงรักษาสภาพแวดล้อมเชิงโครงสร้างที่เพียงพอสำหรับการวิเคราะห์พื้นที่เก็บข้อมูลขนาดใหญ่ เฟรมเวิร์กนี้ใช้ AI agent ที่เป็นนักยุทธศาสตร์ (strategist agent) เพื่อทำแผนที่โครงสร้างโค้ดและโมเดลภัยคุกคาม AI agent สำหรับการวิจัย (research agents) เพื่อตรวจสอบไฟล์ต้นฉบับและการไหลของข้อมูล และ AI agent สำหรับการตรวจสอบและวิจารณ์ (reviewer and critic agents) เพื่อลดผลบวกลวง จากนั้น sandbox จะรันการโจมตีแบบ Proof-of-concept ที่สร้างโดย AI ในสภาพแวดล้อมที่แยกออกมา ก่อนที่จะส่งผลที่พบไปยังนักพัฒนา ขั้นตอนนี้มีจุดประสงค์เพื่อทดสอบว่าข้อบกพร่องสามารถถูกโจมตีได้จริงหรือไม่ แทนที่จะเพียงแค่ระบุปัญหาเชิงทฤษฎี
Google Cloud เปรียบเทียบสิ่งนี้กับการสแกนโค้ด AI แบบกระจายศูนย์ ซึ่งกล่าวว่าอาจสร้างผลการค้นหาที่ไม่ถูกต้องมากเกินไป โดยระบุว่าอัตราการตรวจพบที่ถูกต้อง (true-positive rates) ในวิธีการดังกล่าวอาจต่ำกว่า 7%
การทดสอบแบบ Fuzz testing
Google Cloud ยังได้อธิบายถึงระบบที่ขับเคลื่อนด้วย AI สำหรับการทดสอบแบบ Fuzz testing ซึ่งเป็นเทคนิคที่ใช้ในการค้นพบช่องโหว่ขณะรันไทม์โดยการป้อนข้อมูลที่ไม่คาดคิดเข้าสู่ซอฟต์แวร์ บริษัทกล่าวว่าอุปสรรคสำคัญมักจะเป็นความพยายามที่จำเป็นในการเขียนและบำรุงรักษา Fuzzing harnesse
ในโมเดลภายในองค์กร AI agent ที่ร่าง (drafting agents) ใช้ตรรกะของผลิตภัณฑ์และการทดสอบที่มีอยู่เพื่อสร้าง Fuzzing harnesses ในเบื้องต้น จากนั้น AI agent ที่สร้างและทดสอบ (building and testing agents) จะรันโค้ด ในขณะที่ AI agent ทำความสะอาดความผิดพลาด (Hallucination Cleaner agent) จะซ่อมแซมความสัมพันธ์ (dependencies) ที่เสียและกำหนดค่าการสร้างโดยใช้ผลตอบรับจากคอมไพเลอร์และตัวเชื่อมโยง AI agent วิเคราะห์คุณภาพ (Quality Analyser agents) จะตรวจสอบการทำงานขณะรันไทม์และปรับอินพุตเพื่อเจาะลึกเข้าไปใน API ที่ซับซ้อนยิ่งขึ้น
กระบวนการนี้ออกแบบมาเพื่อลดความล้มเหลวซ้ำ ๆ โดยการเพิ่มวงจรการสะท้อนตนเอง (self-reflection loop) หลังจากการทำงานแต่ละครั้ง ขั้นตอนการสะท้อนนี้จะตรวจสอบบันทึกการทำงาน ประวัติเครื่องมือ และความคิดเห็นจากมนุษย์ รูปแบบที่ประสบความสำเร็จจะถูกเก็บไว้ในฐานความรู้และนำไปใช้ในขั้นตอนการทำงานในอนาคต โดยมีเป้าหมายเพื่อปรับปรุงอัตราการแก้ไขและประสิทธิภาพเมื่อเวลาผ่านไป
ขั้นตอนการแก้ไขแพตช์
การค้นพบช่องโหว่จะถูกป้อนโดยตรงเข้าสู่ขั้นตอนการแก้ไขอัตโนมัติ ในขั้นตอนการทำงานนั้น AI agent หนึ่งจะสร้างความผิดพลาดซ้ำ AI agent อีกตัวจะทำแผนที่เส้นทางการทำงาน AI agent สร้างแพตช์จะเขียนโค้ดแก้ไข และ AI agent ประเมินจะคอมไพล์โค้ดใหม่และรันการทดสอบ เฉพาะการแก้ไขที่ผ่านการตรวจสอบเท่านั้นที่จะถูกส่งไปยังผู้ตรวจสอบที่เป็นมนุษย์
Google Cloud ยังใช้ระบบจัดการสถานะความปลอดภัยแบบอัตโนมัติหลังจากเปิดตัว โดยแปลงมาตรฐานความปลอดภัยของตนให้เป็นไฟล์ที่สามารถกำหนดโปรแกรมได้ ซึ่งจะตรวจสอบความคลาดเคลื่อนของการกำหนดค่าในสภาพแวดล้อมการผลิต เมื่อระบบตรวจพบการละเมิด ก็สามารถกระตุ้นการแก้ไขอัตโนมัติได้ สิ่งนี้ขยายโมเดล AI ภายในองค์กรออกไปนอกเหนือจากการพัฒนาซอฟต์แวร์ไปสู่การจัดการบริการที่ใช้งานอยู่
Betz และ Shah นำเสนอผลงานนี้ในฐานะส่วนหนึ่งของการก้าวไปสู่สิ่งที่พวกเขาเรียกว่าความปลอดภัยแบบอัตโนมัติ Chris Betz หัวหน้าเจ้าหน้าที่ฝ่ายสารสนเทศด้านความปลอดภัยของ Google Cloud กล่าวว่า ‘เพื่อให้อยู่รอดในความเป็นจริงใหม่นี้ ความปลอดภัยจำเป็นต้องมีการป้องกันแบบอัตโนมัติ’
ทั้งคู่กล่าวว่า Google Cloud ได้รวมระบบเหล่านี้เข้ากับวงจรชีวิตของผลิตภัณฑ์เพื่อลดการพึ่งพารายการตรวจสอบด้วยตนเองและการตรวจสอบแบบครั้งเดียว Betz กล่าวว่า ‘ด้วยการฝัง AI agent เฉพาะทางโดยตรงในวงจรการพัฒนาซอฟต์แวร์ (SDLC) ของเรา เราได้สร้างเกราะป้องกันอัตโนมัติที่ปกป้องโค้ดในระดับและความเร็วที่ทีมมนุษย์ไม่สามารถทำได้ – และเรากำลังดำเนินการเพื่อให้เกราะป้องกันเดียวกันนี้พร้อมใช้งานในวงกว้าง’
เกี่ยวกับเฟรมเวิร์กการวิเคราะห์โค้ด Shah กล่าวว่าเวอร์ชันภายในและเวอร์ชันสาธารณะมีจุดประสงค์ที่แตกต่างกัน Ruchi Shah ผู้อำนวยการอาวุโสฝ่ายวิศวกรรมความปลอดภัยของ Google Cloud กล่าวว่า ‘ทักษะหลักที่เป็นหัวใจของ Mantis ตอนนี้เป็นโอเพนซอร์สเพื่อแสดงแนวคิดพื้นฐาน’ เธอกล่าวว่าเป้าหมายที่กว้างกว่าคือการย้ายกระบวนการความปลอดภัยให้เข้าใกล้โมเดลการแก้ไขตนเองมากขึ้น Shah กล่าวว่า ‘การเดินทางภายในของ Google Cloud แสดงให้เห็นว่าการปกป้องซอฟต์แวร์ในระดับ AI ต้องมีการเปลี่ยนแปลงกระบวนทัศน์ขั้นพื้นฐานจากรายการตรวจสอบที่พึ่งพามนุษย์ไปสู่การประสานงานแบบหลาย AI agent เชิงรุก’
ที่มา: Securitybrief_co_uk
