AI is een gevaar voor cybersecurity

In zijn keynote tijdens FroSCon noemde Bagder AI slop een van zijn grootste irritaties. Door AI gegenereerde meldingen van fouten en kwetsbaarheden in CURL nemen niet alleen in aantal toe. De omvang van de meldingen is het ook. Nog erger is dat in de meeste gevallen de meldingen compleet onzinnig zijn.

Wat AI slop is, is daarmee al redelijk verklaard. Het is een opeenhoping van tekst en beeld die op het eerste gezicht lijkt te kloppen. Bij betere bestudering blijkt al snel dat het inhoudelijk niet klopt. De voorbeelden die Bagder gaf waren ook voor iemand die geen software schrijft of controleert te volgen. Het zijn complete verhalen die worden opgehangen om kwetsbaarheid ABC te kunnen duiden, maar niet kloppen, zichzelf tegenspreken en zelfs verwijzen naar code die helemaal niet wordt gebruikt.

Allemaal gegenereerd door AI voor personen die daarmee denken een beloning te kunnen opstrijken voor het vinden van een fout die nooit iemand eerder heeft ontdekt. Personen ook die of de “eigen” AI output niet hebben gelezen of niet in staat zijn de fouten eruit te halen.

AI leuk, maar op deze manier wordt software echt niet veiliger. Bagder stelt zelfs dat het tegenovergestelde het geval is. De tsunami van bagger meldingen vergroot de kans dat een serieuze melding over het hoofd wordt gezien.

“AI-produced slop drivel“

Brian Krebs, op ITchannelPRO meermaals genoemd, struikelde maandag ook over AI. In de marge van een post over een datalek bij een AI chatbot maker merkt hij op “[…] and Trend Micro’s blog put out what I can only assume is AI-produced slop drivel”

Wederom AI slop en wederom in de context van security. Deze keer is het zo mogelijk nog erger. Security bedrijven met een zekere reputatie die via de eigen blogs incidenten en trends “duiden” zijn er veel. Dat voor het schrijven van die artikelen ook AI wordt gebruikt, dat viel te verwachten. Evenzo dat dit soort artikelen voorsorteren op het promoten van eigen diensten, op het gevaar van een “wc-eend verhaal”.

Maar dat Trend iets online zet dat slecht leesbaar is, waarvan de inhoud eigenaardig overkomt is minimaal onhandig omdat het lezers _ en de pers_ op het verkeerde been zet. Krebs is iets minder diplomatiek. Hij schrijft “there has been some truly awful reporting perpetrated around the periphery of this story that needs to be called out as irresponsible bulls*”.

Uitroepteken

De titel van dit artikel heeft geen vraagteken, maar verdient een uitroepteken. Op dit moment levert AI per saldo geen positieve bijdrage aan het verhogen van de cybersecurity. Het tegenovergestelde is echt het geval en dat is iets waar meer voor gewaarschuwd moet worden.