Поскольку дебаты бушуют о сколько ИТ-администраторов и директоров по информационной безопасности должны использовать генеративный ИИ — особенно для кодирования — SailPoint CISO Рекс Бут видит множество препятствий, прежде чем предприятия смогут увидеть какие-либо преимущества, особенно с учетом далеко не звездной истории принятия правильных решений в области безопасности в отрасли.
Google уже решил публично использовать генеративный ИИ в своих поисковых запросах, и этот шаг сводит с ума широкий круг специалистов по ИИ, в том числе старшего менеджера по ИИ в самой Google.
Хотя некоторые утверждали, что обещания чрезвычайной эффективности генеративного ИИ могут обеспечить дополнительную безопасность (и проверки функциональности серверной части), Бут говорит, что история отрасли говорит об обратном.
«Предполагать, что мы можем положиться на все компании, чтобы использовать сэкономленные средства, чтобы вернуться и исправить недостатки на бэкэнде, — это безумие», — сказал Бут в интервью. «Рынок не создавал никаких стимулов для этого в течение десятилетий — почему мы должны думать, что отрасль вдруг начнет отдавать предпочтение качеству, а не прибыли? Вся кибериндустрия существует потому, что мы проделали очень плохую работу по обеспечению безопасности. Мы, наконец, убедили сообщество разработчиков рассматривать безопасность в качестве основного функционального компонента. Мы не можем позволить привлекательности эффективности отвлечь нас от улучшения основы экосистемы.
«Конечно, используйте ИИ, но не отказывайтесь от ответственности за качество каждой строки кода, которую вы вносите», — сказал он. «Предложение «Эй, результат может быть неверным, но вы получаете его по выгодной цене» смехотворно. Нам не нужно больше дрянного, небезопасного программного обеспечения. Нам нужно более качественное программное обеспечение.
«Если сообщество разработчиков собирается использовать ИИ для повышения эффективности, это хорошо для них. Я бы так и сделал, когда писал код. Но это нужно делать с умом».
Один вариант, о котором говорили младшие программисты, которых искусственный интеллект может заменить более эффективно, чем опытные программисты, будут переквалифицированы в специалистов по кибербезопасности, которые смогут не только устранять проблемы кодирования, создаваемые искусственным интеллектом, но и решать другие задачи безопасности. Теоретически это может помочь решить проблему нехватки специалистов по кибербезопасности.
Но Бут считает, что генеративный ИИ оказывает противоположное влияние. Он опасается, что «ИИ может фактически привести к буму найма охранников для очистки серверной части, что еще больше усугубит нехватку рабочей силы, которая у нас уже есть».
О, генеративный ИИ, будь то ChatGPT, BingChat, Google Bard или что-то еще, есть ли бесконечное количество способов, которыми ваше использование может усугубить ИТ-кошмары?
Аргумент Бута о нехватке специалистов по кибербезопасности имеет смысл. Существует более или менее ограниченное число обученных специалистов по кибербезопасности, доступных для найма. Если предприятия попытаются бороться с этим дефицитом, заплатив им больше денег — маловероятный, но возможный сценарий — это улучшит ситуацию с безопасностью в одной компании за счет другой. «Мы постоянно просто обмениваем людей туда и обратно», — сказал Бут.
Наиболее вероятным краткосрочным результатом растущего использования больших языковых моделей является то, что это повлияет на программистов гораздо больше, чем на специалистов по безопасности. «Я уверен, что ChatGPT приведет к резкому сокращению количества вакансий разработчиков начального уровня», — сказал Бут. «Вместо этого это позволит более широкому кругу людей участвовать в процессе разработки».
Это ссылка на то, что руководители и менеджеры бизнес-направлений (LOB) могут использовать генеративный ИИ для прямого кодирования, устраняя необходимость в том, чтобы кодировщик выступал в качестве посредника. Главный вопрос: хорошо это или плохо?
Аргумент «хорошего» заключается в том, что это сэкономит деньги компаний и позволит LOB быстрее писать код для приложений. Это, конечно, правда. Аргумент «плохо» заключается в том, что специалисты LOB не только знают о безопасности меньше, чем даже самый младший программист, но их главная забота — скорость. Будут ли эти сотрудники LOB даже проверять безопасность и ремонтировать? (Мы все знаем ответ на этот вопрос, но я обязан спросить.)
Мнение Бута: если топ-менеджеры разрешат разработку с помощью генеративного ИИ без ограничений, возникнут проблемы, выходящие далеко за рамки кибербезопасности.
LOB «окажутся способными благодаря чудесам ИИ полностью обойти нормальный процесс разработки», — сказал он. «Корпоративная политика не должна допускать этого. Разработчики проходят обучение в домене. Они знают, как правильно поступать в процессе разработки. Они знают правильное развертывание, включая интеграцию с остальной частью предприятия. Это идет способ дальше: «Эй, я могу написать кое-какой код». Просто потому, что мы можем сделать это быстрее, это не означает, что все ставки сняты, и это внезапно станет Диким Западом».
На самом деле, для многих директоров по информационной безопасности предприятий и бизнес-менеджеров это именно то, что это означает.
Это заставляет нас вернуться к деликатному вопросу о том, что генеративный ИИ изо всех сил старается лгать, что является худшим проявлением галлюцинаций ИИ. Некоторые говорят, что в этом нет ничего нового, и что кодеры совершали подобные ошибки на протяжении поколений. Я категорически не согласен.
Мы не говорим об ошибках тут и там или о том, что система ИИ не знает фактов. Подумайте, что делают кодеры. Да, даже лучшие кодеры время от времени ошибаются, а другие неаккуратны и делают гораздо больше ошибок. Но что характерно для программиста-человека, так это то, что он введет 10 000, когда число должно было быть 100 000. Или не закроют инструкцию. Это плохие вещи, но нет никакого злого умысла. Это просто ошибка.
Чтобы сделать эти неудачи эквивалентными тому, что сегодня делает генерация ИИ, кодер должен был бы полностью изобрести новые инструкции и изменить существующие инструкции на что-то нелепое. Это не ошибка или небрежность, это намеренная ложь. Хуже того, для этого нет видимой причины, кроме лжи. Это было бы абсолютным правонарушением, если бы у кодера не было удивительно хорошего объяснения.
Что, если начальник программиста признал эту ложь и сказал: «Ага. кодер явно солгал. Я понятия не имею, почему они это сделали, и они признают свою ошибку, но не скажут, что не сделают этого снова. Действительно, моя оценка такова, что они обязательно сделают это неоднократно. И пока мы не разберемся, почему они это делают, мы не сможем их остановить. И, опять же, мы понятия не имеем, почему они это делают, и у нас нет причин выяснять это в ближайшее время».
Есть ли сомнения, что вы бы уволили этого программиста (и, возможно, менеджера тоже)? И тем не менее именно это и делает генеративный ИИ. Удивительно, но топ-менеджеры предприятий, кажется, согласны с этим, пока инструменты ИИ продолжают писать код быстро и эффективно.
Дело не просто в том, чтобы доверять своему коду, а в том, чтобы доверять своему программисту. Что, если бы я сказал вам, что одну из цитат в этой колонке я полностью выдумал? (Ни одного не было, но следуйте за мной.) Не могли бы вы сказать, какая цитата ненастоящая? Выборочная проверка не поможет; первые 10 комментариев могут быть идеальными, а следующие — нет.
Подумайте об этом на мгновение, а затем скажите мне, насколько вы действительно можете доверять коду, сгенерированному ChatGPT.
Единственный способ узнать, что цитаты в этом посте законны, — это поверить цитирующему, обозревателю — мне. Если вы не можете, как вы можете доверять словам? Генеративный ИИ неоднократно показывал, что он будет создавать вещи без всякой причины. Учитывайте это, когда будете принимать стратегические решения.
Авторское право © 2023 IDG Communications, Inc.
