OpenAI Codex SAST को छोड़ता है—यहां AI तर्क के पीछे का कारण है

परंपरागत कोड सुरक्षा स्कैनिंग की समस्या

स्थिर अनुप्रयोग सुरक्षा परीक्षण, जिसे आमतौर पर SAST कहा जाता है, दो दशकों से अधिक समय से स्वचालित कोड सुरक्षा विश्लेषण के लिए प्रमुख दृष्टिकोण रहा है। दृष्टिकोण वैचारिक रूप से सरल है: स्रोत कोड को निष्पादित किए बिना विश्लेषण करें, ज्ञात कमजोरी हस्ताक्षर से मेल खाने वाले पैटर्न खोजें। उपयोगकर्ता इनपुट से इकट्ठा किए गए SQL क्वेरीज़, सीमा जांच के बिना मेमोरी आवंटन, कमजोर पैरामीटर के साथ उपयोग किए गए क्रिप्टोग्राफिक फंक्शन—SAST उपकरण किसी भी आकार के कोडबेस में इन पैटर्न को तेजी से फ्लैग कर सकते हैं।

समस्या झूठी सकारात्मक दर है। परिपक्व एंटरप्राइज कोडबेस नियमित रूप से हजारों फ्लैग किए गए आइटमों के साथ SAST रिपोर्ट प्राप्त करते हैं, जिनमें से अधिकांश गैर-शोषण योग्य कोड पैटर्न, शमित कमजोरियां, या फ्लैग किए गए API के वैध उपयोग का प्रतिनिधित्व करते हैं। सुरक्षा इंजीनियर इन रिपोर्टों को ट्राइज करने में भारी समय व्यय करते हैं। संकेत-से-शोर अनुपात इतना खराब है कि कई संगठन SAST उपकरणों को शेड्यूल पर चलाते हैं लेकिन उनके आउटपुट के बड़े हिस्से को नजरअंदाज करने के लिए संस्थागत सहिष्णुता विकसित कर चुके हैं।

यह वह समस्या है जिसे OpenAI ने Codex Security के साथ हल करने का प्रयास किया—और यह कारण है कि इसे उत्पाद में SAST रिपोर्ट शामिल नहीं करने के लिए चुना।

बाधा तर्क एक विकल्प के रूप में

Codex Security एक भिन्न पद्धति का उपयोग करता है जिसे OpenAI AI-संचालित बाधा तर्क और सत्यापन के रूप में वर्णित करता है। हस्ताक्षर कमजोरियों के विरुद्ध पैटर्न मिलान के बजाय, सिस्टम यह तर्क देने का प्रयास करता है कि क्या कमजोरी वास्तव में उस विशिष्ट संदर्भ में शोषण योग्य है जिसमें वह दिखाई देती है।

यह अंतर व्यावहारिक रूप से अत्यंत महत्वपूर्ण है। एक SAST उपकरण किसी विशेष स्ट्रिंग फॉर्मेटिंग फंक्शन के प्रत्येक उदाहरण को संभावित स्ट्रिंग फॉर्मेट कमजोरी के रूप में फ्लैग कर सकता है, भले ही उस फंक्शन के इनपुट को किसी आक्रमणकारी द्वारा प्रभावित किया जा सकता है या नहीं। Codex Security डेटा प्रवाह ट्रेस करने, विश्वास सीमाओं को समझने और यह मूल्यांकन करने का प्रयास करता है कि क्या वास्तविक पहुंच वाला आक्रमणकारी वास्तव में समस्याग्रस्त कोड पथ को ट्रिगर कर सकता है।

यह दृष्टिकोण औपचारिक सत्यापन और बाधा संतुष्टि तरीकों से उधार लेता है जो शैक्षणिक सुरक्षा अनुसंधान में उपयोग किए जाते हैं, लेकिन वास्तविक दुनिया के कोडबेस की अस्पष्टता और जटिलता को संभालने के लिए AI तर्क लागू करता है जिसके साथ औपचारिक तरीके ऐतिहासिक रूप से स्केल करने के लिए संघर्ष कर रहे हैं।

कम निष्कर्ष, उच्च आत्मविश्वास

इस दृष्टिकोण में अंतर्निहित ट्रेड-ऑफ यह है कि Codex Security SAST पकड़ने वाली कमजोरियों को मिस कर सकता है। OpenAI इस सीमा के बारे में पारदर्शी है। सिस्टम स्मरण पर परिशुद्धता को प्राथमिकता देने के लिए डिज़ाइन किया गया है: सिस्टम जो कमजोरियों को फ्लैग करता है वह वास्तविक और शोषण योग्य होने का इरादा है, भले ही कोडबेस में वास्तविक कमजोरियां हों जिन्हें सिस्टम पहचानता नहीं है।

उन सुरक्षा टीमों के लिए जो निम्न-गुणवत्ता SAST आउटपुट में डूबी हुई हैं, यह ट्रेड-ऑफ आकर्षक हो सकता है। उच्च-आत्मविश्वास, कार्यशील निष्कर्षों का एक छोटा सेट लगातार इसे हल किया जा सकता है, सुरक्षा स्थिति में पर्यवेक्षणीय सुधार उत्पन्न करते हुए। अधिकांश झूठी सकारात्मक के परिणामस्वरूप एक बड़ा सेट विश्लेषण पक्षाघात पैदा करता है और, व्यावहार में, अक्सर कुछ भी ठीक नहीं होता है।

OpenAI तर्क देता है कि डेवलपर अनुभव तब अधिक सार्थक रूप से सुधारा जाता है जब निष्कर्ष विश्वासयोग्य होते हैं। एक डेवलपर जो सीखता है कि उनके कोडबेस में 80 प्रतिशत सुरक्षा उपकरण निष्कर्ष शोर हैं, अलग आचरण को प्रशिक्षित करने के लिए आदी हो जाता है: प्रत्येक निष्कर्ष को गंभीरता से लें और इसे ठीक करें।

सत्यापन पाइपलाइन

Codex Security प्रारंभिक बाधा तर्क को एक सत्यापन चरण के साथ जोड़ता है जो AI का उपयोग करके प्रमाण-की-अवधारणा परीक्षण मामलों को बनाता है जो एक सैंडबॉक्स्ड पर्यावरण में कमजोरी को ट्रिगर करने का प्रयास करते हैं। यदि कमजोरी को कैसे दिखाया जा सकता है इसके बारे में सिस्टम के मॉडल को एक कार्यशील शोषण में परिणत किया जा सकता है—यहां तक कि एक सौम्य जो केवल यह प्रदर्शित करता है कि कोड पथ निष्पादित होता है—निष्कर्ष में आत्मविश्वास पर्याप्त रूप से बढ़ता है।

यह सत्यापन चरण स्थिर पैटर्न मिलान की तुलना में गणनात्मक रूप से खर्चीला है, जो इस दृष्टिकोण को सुरक्षा उपकरणों के बीच सार्वभौमिक न होने का कारण है। लेकिन यह एक महत्वपूर्ण गुणवत्ता द्वार का प्रतिनिधित्व करता है। कमजोरियां जो बाधा तर्क चरण और शोषण सत्यापन चरण दोनों से बचती हैं, SAST निष्कर्षों की तुलना में वास्तविक सुरक्षा जोखिम का प्रतिनिधित्व करने की संभावना है जिन्हें किसी भी मृत्यु आधारित सत्यापन के अधीन नहीं किया गया है।

सुरक्षा उपकरण परिदृश्य में स्थिति

Codex Security को सभी सुरक्षा उपकरणों के प्रतिस्थापन के रूप में स्थापित नहीं किया गया है। OpenAI इसे फ़ज़िंग, पेनिट्रेशन परीक्षण और मैनुअल कोड समीक्षा के पूरक के रूप में वर्णित करता है। पिच यह है कि स्वचालित कोड विश्लेषण के विशिष्ट कार्य के लिए, तर्क-आधारित दृष्टिकोण हस्ताक्षर-आधारित दृष्टिकोणों के लिए कोडबेस और कमजोरी वर्गों के लिए बेहतर परिणाम प्रदान कर सकते हैं जहां AI तर्क पर्याप्त रूप से परिपक्व है।

उत्पाद AI-सहायता सुरक्षा उपकरणों में व्यापक प्रवृत्ति जारी रखता है जो केवल सिंटैक्स नहीं, कोड सिमैंटिक्स को समझते हैं। जैसे-जैसे बड़े कोड कॉर्पस पर प्रशिक्षित AI मॉडल प्रोग्राम व्यवहार के बारे में तर्क देने की क्षमता में सुधार करते हैं, स्वचालित उपकरण विश्वसनीय रूप से क्या पा सकते हैं और कुशल मानव सुरक्षा शोधकर्ता क्या पा सकते हैं के बीच अंतर कम हो जाता है—हालांकि यह अभी तक बंद नहीं हुआ है।

यह लेख OpenAI द्वारा रिपोर्टिंग पर आधारित है। मूल लेख पढ़ें।