In der heutigen digitalen Landschaft, die zunehmend von künstlicher Intelligenz (KI) geprägt ist, ist die Fähigkeit, Code mithilfe von KI zu generieren, zu einem entscheidenden Werkzeug geworden. Diese Technologie, bekannt als Codegenerierende KI (Code GenAI), bietet zwar zahlreiche Vorteile, bringt aber auch potenzielle Sicherheitsrisiken mit sich. Um diese Risiken zu bewerten, wurden verschiedene Benchmarks entwickelt, die sich jedoch hauptsächlich auf die Fähigkeit eines Modells konzentrieren, Angriffsvorschläge zu liefern, anstatt auf seine Fähigkeit, ausführbare Angriffe zu generieren. Um diese Lücke zu schließen, wurde SecCodePLT entwickelt, eine einheitliche und umfassende Bewertungsplattform für die Sicherheitsrisiken von Code GenAI.
Bestehende Benchmarks zur Bewertung der Sicherheit von Code GenAI weisen mehrere Einschränkungen auf. Erstens konzentrieren sich viele Benchmarks eher auf die Fähigkeit eines Modells, Angriffsvorschläge zu machen, als auf seine Fähigkeit, ausführbare Angriffe zu generieren. Zweitens basieren die meisten Benchmarks stark auf statischen Bewertungsmetriken, die möglicherweise nicht so genau sind wie dynamische Metriken wie das Bestehen von Testfällen. Umgekehrt arbeiten von Experten verifizierte Benchmarks, obwohl sie qualitativ hochwertige Daten liefern, oft in kleinerem Maßstab.
SecCodePLT wurde entwickelt, um diese Herausforderungen zu bewältigen, indem es eine einheitliche Plattform bietet, die sowohl statische als auch dynamische Bewertungsansätze umfasst. Die Plattform konzentriert sich auf zwei Hauptbereiche der Sicherheitsrisiken im Zusammenhang mit Code GenAI:
SecCodePLT führt eine neue Methodik zur Datenerzeugung ein, die Experten mit automatischer Generierung kombiniert. Diese Methodik stellt die Datenqualität sicher und ermöglicht gleichzeitig die Generierung in großem Maßstab. Darüber hinaus verknüpft die Plattform Stichproben mit Testfällen, um eine dynamische Bewertung im Zusammenhang mit dem Code durchzuführen. Dieser Ansatz ermöglicht eine genauere Bewertung der Fähigkeit des Modells, sicheren und funktionalen Code zu generieren.
Um die Nützlichkeit eines Modells bei Cyberangriffen zu bewerten, richtet SecCodePLT eine reale Umgebung ein und erstellt Stichproben, um ein Modell aufzufordern, tatsächliche Angriffe zu generieren. Die Plattform enthält außerdem dynamische Metriken, die in dieser Umgebung gemessen werden, um die Wirksamkeit der generierten Angriffe zu bewerten. Dieser praktische Ansatz bietet wertvolle Einblicke in das Potenzial des Modells, in realen Szenarien für böswillige Zwecke verwendet zu werden.
Umfangreiche Experimente haben gezeigt, dass SecCodePLT den neuesten Benchmark CyberSecEval in Bezug auf die Sicherheitsrelevanz übertrifft. Darüber hinaus identifiziert es die Sicherheitsrisiken von State-of-the-Art-Modellen bei unsicherem Programmieren und der Nützlichkeit von Cyberangriffen besser. Darüber hinaus wurde SecCodePLT auf Cursor, einen hochmodernen Code-Agenten, angewendet und identifizierte erstmals nicht triviale Sicherheitsrisiken in diesem fortschrittlichen Programmier-Agenten. Diese Ergebnisse unterstreichen die Wirksamkeit von SecCodePLT als umfassende Plattform zur Bewertung der Sicherheit von Code GenAI.
Da Code GenAI-Modelle immer ausgefeilter werden, wird die Bewertung ihrer Sicherheitsrisiken immer wichtiger. SecCodePLT bietet eine wertvolle Plattform für Forscher und Entwickler, um die Sicherheit dieser Modelle zu bewerten und zu verbessern. Durch die Bereitstellung eines einheitlichen Frameworks, das statische und dynamische Bewertungsmetriken umfasst, ermöglicht SecCodePLT eine umfassende Analyse der Sicherheitsrisiken im Zusammenhang mit Code GenAI. Mit dem Fortschritt der KI-Technologie werden Plattformen wie SecCodePLT eine entscheidende Rolle bei der Gewährleistung der verantwortungsvollen und sicheren Entwicklung und Bereitstellung von Codegenerierenden KI-Systemen spielen.