El Problema con el Escaneo Tradicional de Seguridad de Código

Las Pruebas Estáticas de Seguridad de Aplicaciones, universalmente conocidas como SAST, han sido el paradigma dominante para el análisis automatizado de seguridad de código durante más de dos décadas. El enfoque es conceptualmente simple: analizar el código fuente sin ejecutarlo, buscando patrones que coincidan con firmas de vulnerabilidades conocidas. Consultas SQL ensambladas desde entrada de usuario, asignaciones de memoria sin verificación de límites, funciones criptográficas utilizadas con parámetros débiles—las herramientas SAST pueden marcar estos patrones rápidamente en bases de código de cualquier tamaño.

El problema es la tasa de falsos positivos. Las bases de código empresariales maduras reciben regularmente informes SAST que contienen miles de elementos marcados, de los cuales la mayoría representa patrones de código no explotables, vulnerabilidades mitigadas o usos legítimos de APIs marcadas. Los ingenieros de seguridad dedican enormes cantidades de tiempo a clasificar estos informes. La relación señal-ruido es lo suficientemente pobre que muchas organizaciones ejecutan herramientas SAST según lo programado pero han desarrollado una tolerancia institucional para ignorar grandes porciones de su salida.

Este es el problema que OpenAI dice que se propuso resolver con Codex Security—y la razón por la que eligió no incluir un informe SAST como parte del producto.

Razonamiento de Restricciones como Alternativa

Codex Security utiliza una metodología diferente que OpenAI describe como razonamiento de restricciones impulsado por IA y validación. En lugar de coincidir patrones contra firmas de vulnerabilidades, el sistema intenta razonar sobre si una vulnerabilidad es realmente explotable dado el contexto específico en el que aparece.

La distinción importa enormemente en la práctica. Una herramienta SAST podría marcar cada instancia de una función de formato de cadena particular como una vulnerabilidad potencial de formato de cadena, independientemente de si los datos de entrada a esa función pueden ser influenciados realmente por un atacante. Codex Security intenta rastrear flujos de datos, entender límites de confianza y evaluar si un atacante con acceso realista podría realmente desencadenar la ruta de código problemática.

Este enfoque se basa en verificación formal y métodos de satisfacción de restricciones utilizados en investigación de seguridad académica, pero aplica razonamiento de IA para manejar la ambigüedad y complejidad de bases de código del mundo real que los métodos formales han tenido históricamente dificultades para escalar.

front and side images of a researcher equipped with AI training devices, part of the XRZero-G0 system.
More in AI & Robotics

XRZero-G0 abre un conjunto de datos de robótica de 2.000 horas

X Square Robot ha publicado XRZero-G0 y un conjunto de datos multimodal de 2.000 horas con el objetivo de reducir la cantidad de datos de robots reales necesarios para sistemas de IA incorporada.

Read article

Menos Hallazgos, Mayor Confianza

La compensación inherente a este enfoque es que Codex Security podría pasar por alto vulnerabilidades que SAST detectaría. OpenAI es transparente sobre esta limitación. El sistema está diseñado para priorizar la precisión sobre la exhaustividad: las vulnerabilidades que marca se supone que son reales y explotables, incluso si hay vulnerabilidades genuinas en la base de código que el sistema no identifica.

Para equipos de seguridad ahogados en salida SAST de baja calidad, esta compensación podría ser atractiva. Un conjunto más pequeño de hallazgos de alta confianza y accionables puede remediarse consistentemente, produciendo mejoras medibles en la postura de seguridad. Un conjunto grande de hallazgos donde la mayoría son falsos positivos produce parálisis del análisis y, en la práctica, a menudo resulta en que nada se arregle.

OpenAI argumenta que la experiencia del desarrollador también es significativamente mejor cuando los hallazgos son confiables. Un desarrollador que ha aprendido que el 80 por ciento de los hallazgos de herramientas de seguridad en su base de código son ruido se vuelve habituado a ignorar advertencias de seguridad. Una herramienta que tiene razón casi siempre entrena un comportamiento diferente: tomar cada hallazgo en serio y arreglarlo.

Tubería de Validación

Codex Security combina el razonamiento inicial de restricciones con un paso de validación que utiliza IA para generar casos de prueba de prueba de concepto intentando desencadenar realmente la vulnerabilidad en un entorno aislado. Si el modelo del sistema de cómo una vulnerabilidad podría ser explotada puede convertirse en un exploit funcional—incluso uno inofensivo que simplemente demuestre que la ruta de código se ejecuta—la confianza en el hallazgo aumenta sustancialmente.

Este paso de validación es computacionalmente costoso en comparación con la coincidencia estática de patrones, que es una razón por la que el enfoque no es universal entre herramientas de seguridad. Pero representa una puerta de calidad importante. Las vulnerabilidades que sobreviven tanto la fase de razonamiento de restricciones como la fase de validación de exploits son significativamente más probables que representen riesgos de seguridad genuinos que los hallazgos SAST que no han sido sometidos a ninguna verificación basada en ejecución.

Image description
More in AI & Robotics

Anthropic pide auditorías vinculantes mientras replantea la IA como infraestructura estratégica

El director ejecutivo de Anthropic, Dario Amodei, dice que las reglas de transparencia ya no bastan y pide auditorías obligatorias de terceros para los sistemas de IA de frontera.

Read article

Posicionamiento en el Panorama de Herramientas de Seguridad

Codex Security no se posiciona como un reemplazo para todas las herramientas de seguridad. OpenAI la describe como complementaria a fuzzing, pruebas de penetración y revisión manual de código. La propuesta es que para el trabajo específico del análisis de código automatizado, los enfoques basados en razonamiento pueden entregar mejores resultados que los enfoques basados en firmas para las bases de código y clases de vulnerabilidades donde el razonamiento de IA es lo suficientemente maduro para ser confiable.

El producto continúa una tendencia más amplia en herramientas de seguridad asistidas por IA hacia sistemas que entienden la semántica del código en lugar de solo la sintaxis. A medida que los modelos de IA entrenados en grandes corpus de código se vuelven más capaces de razonar sobre el comportamiento del programa, la brecha entre lo que las herramientas automatizadas pueden encontrar de manera confiable y lo que los investigadores de seguridad humanos expertos pueden encontrar se está cerrando—aunque aún no se ha cerrado.

Este artículo se basa en reportes de OpenAI. Lee el artículo original.

Originally published on openai.com