Apa yang terjadi
Pusat Keamanan Siber Nasional (NCSC) Inggris menerbitkan panduan pada 11 Mei berjudul '10 Pertanyaan untuk Diajukan Saat Menggunakan Model AI untuk Menemukan Kerentanan.' Dokumen tersebut menyediakan daftar periksa bagi tim keamanan yang sedang mempertimbangkan atau sudah menerapkan pemindaian dan penemuan kerentanan berbasis AI. Panduan ini mencakup pertimbangan praktis untuk menggunakan AI (khususnya model bahasa besar) dalam alur kerja keamanan ofensif dan penelitian kerentanan.
Mengapa penting
Seiring dengan percepatan adopsi AI dalam operasi keamanan, para pembela memerlukan panduan tentang cara mengevaluasi dan mengatur alat keamanan berbasis AI dengan aman. Panduan NCSC menjembatani kesenjangan antara hype seputar penemuan kerentanan bertenaga AI dan manajemen risiko praktis yang diperlukan untuk menerapkan alat semacam itu secara bertanggung jawab. Panduan ini mengakui bahwa AI dapat menemukan kelas kerentanan (terutama cacat semantik/logika) yang dilewatkan pemindai tradisional, tetapi juga memperkenalkan risiko operasional dan keamanan baru jika tidak diatur.
Tindakan yang diperlukan
Tim keamanan yang menerapkan alat penemuan kerentanan berbasis AI harus merujuk panduan NCSC untuk mengaudit implementasi mereka. Tim kepatuhan harus menggunakan ini sebagai dasar untuk tata kelola AI dalam program manajemen kerentanan. Pertimbangkan untuk menggabungkan daftar periksa NCSC ke dalam kriteria pengadaan untuk alat keamanan yang memanfaatkan AI.