बैकस्लैश सिक्योरिटी के नवीनतम शोध ने एक चिंताजनक प्रवृत्ति का खुलासा किया है: बड़े भाषा मॉडल (LLM) जैसे GPT-4.1, अन्य व्यापक रूप से उपयोग किए जाने वाले मॉडलों के साथ, डिफ़ॉल्ट रूप से असुरक्षित कोड उत्पन्न करते हैं। इसका मतलब है कि सुरक्षा पर ध्यान केंद्रित करने वाले विशिष्ट निर्देशों या दिशानिर्देशों के बिना, इन AI प्रणालियों द्वारा निर्मित कोड अक्सर सामान्य कमजोरियों और कारनामों के प्रति संवेदनशील होता है। हालाँकि, शोध यह भी इंगित करता है कि अतिरिक्त सुरक्षा मार्गदर्शन प्रदान करके या नियम-आधारित शासन को लागू करके उत्पन्न कोड की सुरक्षा में काफी सुधार किया जा सकता है।
इस मुद्दे को आगे बढ़ाने के लिए, बैकस्लैश सिक्योरिटी ने मॉडल कॉन्टेक्स्ट प्रोटोकॉल (MCP) सर्वर के लॉन्च की घोषणा की है, साथ ही एजेंटिक इंटीग्रेटेड डेवलपमेंट एनवायरनमेंट (IDEs) के लिए डिज़ाइन किए गए नियम और एक्सटेंशन। इन उपकरणों का उद्देश्य LLM-जनरेटेड कोड में पहचानी गई सुरक्षा कमजोरियों को दूर करना और डेवलपर्स को अधिक सुरक्षित एप्लिकेशन बनाने के साधन प्रदान करना है।
LLM और असुरक्षित कोड जेनरेशन: डिफ़ॉल्ट परिदृश्य
बैकस्लैश सिक्योरिटी ने OpenAI के GPT मॉडल, एंथ्रोपिक के क्लाउड और Google के Gemini सहित लोकप्रिय LLM के सात अलग-अलग संस्करणों पर परीक्षणों की एक श्रृंखला आयोजित की। लक्ष्य यह आकलन करना था कि विभिन्न प्रॉम्प्टिंग तकनीकें मॉडलों की सुरक्षित कोड उत्पन्न करने की क्षमता को कैसे प्रभावित करती हैं। कोड आउटपुट की सुरक्षा का मूल्यांकन दस कॉमन वीकनेस एन्युमरेशन (CWE) उपयोग मामलों के खिलाफ इसके लचीलेपन के आधार पर किया गया था, जो सामान्य सॉफ़्टवेयर कमजोरियों की एक श्रृंखला का प्रतिनिधित्व करते हैं।
इन परीक्षणों के परिणामों से लगातार पता चला कि अधिक परिष्कृत प्रॉम्प्टिंग तकनीकों के साथ उत्पन्न कोड की सुरक्षा में सुधार हुआ है। हालाँकि, व्यापक विषय यह था कि परीक्षण किए गए सभी LLM ने आम तौर पर असुरक्षित कोड का उत्पादन किया जब उन्हें अपने उपकरणों पर छोड़ दिया गया। इससे पता चलता है कि ये मॉडल, अपने डिफ़ॉल्ट कॉन्फ़िगरेशन में, सुरक्षा को प्राथमिकता नहीं देते हैं और अक्सर सामान्य कोडिंग कमजोरियों को दूर करने में विफल रहते हैं।
नैवे प्रॉम्प्ट: भेद्यता के लिए एक नुस्खा
जब सरल, ‘नैवे’ प्रॉम्प्ट के साथ प्रस्तुत किया गया जिसमें सुरक्षा विचारों का स्पष्ट रूप से उल्लेख नहीं किया गया था, तो परीक्षण किए गए सभी LLM ने असुरक्षित कोड उत्पन्न किया जो दस सामान्य CWE में से कम से कम चार के प्रति संवेदनशील था। यह विशिष्ट मार्गदर्शन के बिना काम करते समय इन मॉडलों में सुरक्षा जागरूकता की अंतर्निहित कमी को उजागर करता है।
सुरक्षा-केंद्रित प्रॉम्प्ट का प्रभाव
प्रॉम्प्ट जिन्होंने आम तौर पर सुरक्षा की आवश्यकता निर्दिष्ट की, जिसके परिणामस्वरूप अधिक सुरक्षित परिणाम मिले, यह दर्शाता है कि LLM अधिक सुरक्षित कोड का उत्पादन करने में सक्षम हैं जब ऐसा करने के लिए स्पष्ट रूप से निर्देशित किया जाता है। इसके अलावा, प्रॉम्प्ट जिन्होंने ओपन वेब एप्लीकेशन सिक्योरिटी प्रोजेक्ट (OWASP) सर्वोत्तम प्रथाओं के अनुरूप कोड का अनुरोध किया, उन्होंने और भी बेहतर परिणाम दिए। OWASP एक गैर-लाभकारी नींव है जो सॉफ़्टवेयर की सुरक्षा में सुधार करने के लिए काम करती है। हालाँकि, इन अधिक परिष्कृत प्रॉम्प्ट के साथ भी, परीक्षण किए गए सात LLM में से पाँच में कुछ कोड कमजोरियाँ बनी रहीं, जो LLM के साथ लगातार सुरक्षित कोड उत्पन्न करने में चुनौतियों को रेखांकित करती हैं।
नियम-आधारित प्रॉम्प्ट: सुरक्षित कोड का मार्ग
सुरक्षित कोड उत्पन्न करने के लिए सबसे प्रभावी दृष्टिकोण में विशिष्ट CWE को संबोधित करने के लिए बैकस्लैश द्वारा निर्दिष्ट नियमों से बंधे प्रॉम्प्ट शामिल थे। इन नियम-आधारित प्रॉम्प्ट के परिणामस्वरूप कोड सुरक्षित था और परीक्षण किए गए CWE के प्रति संवेदनशील नहीं था। इससे पता चलता है कि LLM को विशिष्ट, लक्षित मार्गदर्शन प्रदान करना उत्पन्न कोड की सुरक्षा सुनिश्चित करने के लिए महत्वपूर्ण है।
LLM के बीच प्रदर्शन विविधताएँ
कुल मिलाकर, OpenAI के GPT-4o ने सभी प्रॉम्प्ट में सबसे कम प्रदर्शन का प्रदर्शन किया, ‘नैवे’ प्रॉम्प्ट का उपयोग करते समय केवल 10 में से 1 सुरक्षित कोड परिणाम प्राप्त किया। यहां तक कि जब सुरक्षित कोड उत्पन्न करने के लिए प्रेरित किया गया, तब भी इसने दस में से आठ मुद्दों के प्रति संवेदनशील असुरक्षित आउटपुट का उत्पादन किया। GPT-4.1 ने नैवे प्रॉम्प्ट के साथ महत्वपूर्ण रूप से बेहतर प्रदर्शन नहीं किया, 10 में से 1.5 स्कोर किया।
इसके विपरीत, क्लाउड 3.7 सोनेट परीक्षण किए गए जेनAI उपकरणों में सर्वश्रेष्ठ कलाकार के रूप में उभरा। इसने नैवे प्रॉम्प्ट का उपयोग करके 10 में से 6 और सुरक्षा-केंद्रित प्रॉम्प्ट का उपयोग करते समय 10 में से 10 का सही स्कोर किया। इससे पता चलता है कि कुछ LLM स्पष्ट निर्देशों के अभाव में भी सुरक्षा विचारों को संभालने के लिए बेहतर ढंग से सुसज्जित हैं।
सुरक्षित वाइब कोडिंग के लिए बैकस्लैश सिक्योरिटी के समाधान
LLM प्रॉम्प्ट परीक्षण द्वारा सामने आई समस्याओं को दूर करने के लिए, बैकस्लैश सिक्योरिटी सुरक्षित वाइब कोडिंग को सक्षम करने के लिए डिज़ाइन की गई कई नई सुविधाएँ पेश कर रही है। वाइब कोडिंग का तात्पर्य LLM जैसे AI उपकरणों का उपयोग करके कोड उत्पन्न करने की प्रथा से है।
बैकस्लैश AI नियम और नीतियां
बैकस्लैश AI नियम और नीतियां मशीन-पठनीय नियम प्रदान करती हैं जिन्हें CWE कवरेज सुनिश्चित करने के लिए प्रॉम्प्ट में इंजेक्ट किया जा सकता है। इन नियमों का उपयोग कर्सर जैसे उपकरणों के साथ किया जा सकता है, जो एक लोकप्रिय कोड संपादक है। इसके अतिरिक्त, AI नीतियां बैकस्लैश प्लेटफ़ॉर्म के माध्यम से IDE में कौन से AI नियम सक्रिय हैं, इसे नियंत्रित करती हैं, जिससे संगठन अपनी सुरक्षा सेटिंग्स को अनुकूलित कर सकते हैं।
बैकस्लैश IDE एक्सटेंशन
बैकस्लैश IDE एक्सटेंशन सीधे डेवलपर्स के मौजूदा वर्कफ़्लो में एकीकृत होता है, जिससे वे मनुष्यों और AI दोनों द्वारा लिखे गए कोड पर बैकस्लैश सुरक्षा समीक्षा प्राप्त कर सकते हैं। यह एकीकरण यह सुनिश्चित करने के लिए महत्वपूर्ण है कि विकास प्रक्रिया के दौरान सुरक्षा विचारों को संबोधित किया जाए।
बैकस्लैश मॉडल संदर्भ प्रोटोकॉल (MCP) सर्वर
बैकस्लैश मॉडल संदर्भ प्रोटोकॉल (MCP) सर्वर एक संदर्भ-जागरूक API है जो MCP मानक के अनुरूप है। यह सुरक्षित कोडिंग, स्कैनिंग और फिक्स को सक्षम करते हुए बैकस्लैश को AI उपकरणों से जोड़ता है।MCP मानक AI उपकरणों के लिए संवाद करने और जानकारी साझा करने के लिए एक सामान्य ढांचा प्रदान करता है, जिससे सुरक्षित AI-संचालित अनुप्रयोगों का विकास होता है।
AI-जनरेटेड कोड की चुनौतियों का समाधान
बैकस्लैश सिक्योरिटी के सह-संस्थापक और CTO योसी पिक AI-जनरेटेड कोड द्वारा सुरक्षा टीमों के सामने आने वाली चुनौतियों पर जोर देते हैं। वे ध्यान देते हैं कि ‘AI-जनरेटेड कोड - या वाइब कोडिंग - सुरक्षा टीमों के लिए एक बुरे सपने की तरह महसूस हो सकता है। यह नए कोड की बाढ़ बनाता है और LLM जोखिमों जैसे भ्रम और प्रॉम्प्ट संवेदनशीलता को लाता है।’ भ्रम उन उदाहरणों को संदर्भित करता है जहां LLM गलत या बेतुकी जानकारी उत्पन्न करते हैं, जबकि प्रॉम्प्ट संवेदनशीलता इनपुट प्रॉम्प्ट में सूक्ष्म बदलावों के आधार पर अलग-अलग आउटपुट उत्पन्न करने के लिए LLM की प्रवृत्ति को संदर्भित करती है।
हालाँकि, पिक का यह भी मानना है कि AI सही नियंत्रणों के साथ उपयोग किए जाने पर AppSec टीमों के लिए एक मूल्यवान उपकरण हो सकता है। उनका तर्क है कि ‘सही नियंत्रणों के साथ - जैसे कि org-परिभाषित नियम और एक संदर्भ-जागरूक MCP सर्वर जो एक उद्देश्य-निर्मित सुरक्षा प्लेटफ़ॉर्म में प्लग किया गया है - AI वास्तव में AppSec टीमों को शुरू से ही अधिक नियंत्रण दे सकता है।’ बैकस्लैश सिक्योरिटी का लक्ष्य अपनी गतिशील नीति-आधारित नियमों, संदर्भ-संवेदनशील MCP सर्वर और IDE एक्सटेंशन के माध्यम से इन नियंत्रणों को प्रदान करना है, जो सभी नए कोडिंग युग के लिए डिज़ाइन किए गए हैं।
असुरक्षित AI-जनरेटेड कोड के निहितार्थ
बैकस्लैश सिक्योरिटी के शोध के निष्कर्षों का सॉफ़्टवेयर विकास उद्योग के लिए महत्वपूर्ण निहितार्थ है। जैसे-जैसे AI-संचालित कोड जेनरेशन उपकरण तेजी से प्रचलित होते जा रहे हैं, उचित सुरक्षा उपायों के बिना इन उपकरणों पर निर्भर रहने से जुड़े जोखिमों को समझना महत्वपूर्ण है।
साइबर हमलों के प्रति बढ़ी हुई भेद्यता
असुरक्षित AI-जनरेटेड कोड नई कमजोरियाँ पैदा कर सकता है जिनका साइबर अपराधी शोषण कर सकते हैं। ये कमजोरियाँ डेटा उल्लंघनों, सिस्टम समझौता और अन्य सुरक्षा घटनाओं का कारण बन सकती हैं।
कमजोरियों की पहचान करने और उन्हें ठीक करने में कठिनाई
AI-जनरेटेड कोड की भारी मात्रा कमजोरियों की पहचान करने और उन्हें ठीक करने में चुनौती पैदा कर सकती है। सुरक्षा टीमें कोड जेनरेशन की तीव्र गति के साथ तालमेल बिठाने के लिए संघर्ष कर सकती हैं, जिससे सुरक्षा मुद्दों का बैकलॉग हो सकता है।
डेवलपर्स के बीच सुरक्षा जागरूकता की कमी
कई डेवलपर्स AI-जनरेटेड कोड से जुड़े सुरक्षा जोखिमों के बारे में पूरी तरह से जागरूक नहीं हो सकते हैं। इस जागरूकता की कमी के कारण डेवलपर्स अनजाने में अपने अनुप्रयोगों में कमजोरियाँ पेश कर सकते हैं।
नियामक अनुपालन चुनौतियाँ
AI-जनरेटेड कोड पर निर्भर रहने वाले संगठनों को नियामक अनुपालन चुनौतियों का सामना करना पड़ सकता है। कई नियमों के लिए संगठनों को संवेदनशील डेटा की सुरक्षा के लिए पर्याप्त सुरक्षा उपाय लागू करने की आवश्यकता होती है। असुरक्षित AI-जनरेटेड कोड इन आवश्यकताओं को पूरा करना मुश्किल बना सकता है।
सुरक्षित AI-संचालित कोड जेनरेशन के लिए सर्वोत्तम अभ्यास
असुरक्षित AI-जनरेटेड कोड से जुड़े जोखिमों को कम करने के लिए, संगठनों को निम्नलिखित सर्वोत्तम प्रथाओं को अपनाना चाहिए:
डेवलपर्स को सुरक्षा प्रशिक्षण प्रदान करें
डेवलपर्स को AI-जनरेटेड कोड से जुड़े सुरक्षा जोखिमों पर प्रशिक्षण प्राप्त करना चाहिए। इस प्रशिक्षण में सामान्य CWE, सुरक्षित कोडिंग प्रथाओं और सुरक्षा उपकरणों का उपयोग कैसे करें जैसे विषय शामिल होने चाहिए।
सुरक्षा नीतियां और प्रक्रियाएं लागू करें
संगठनों को सुरक्षा नीतियां और प्रक्रियाएं लागू करनी चाहिए जो AI-जनरेटेड कोड के उपयोग को संबोधित करती हैं। इन नीतियों को स्वीकार्य उपयोग के मामलों, सुरक्षा आवश्यकताओं और AI-जनरेटेड कोड की समीक्षा और अनुमोदन के लिए प्रक्रियाओं को परिभाषित करना चाहिए।
AI-जनरेटेड कोड को स्कैन करने के लिए सुरक्षा उपकरणों का उपयोग करें
संगठनों को कमजोरियों के लिए AI-जनरेटेड कोड को स्कैन करने के लिए सुरक्षा उपकरणों का उपयोग करना चाहिए। ये उपकरण सामान्य CWE और अन्य सुरक्षा मुद्दों की पहचान करने में मदद कर सकते हैं।
एक सुरक्षित विकास जीवनचक्र (SDLC) लागू करें
संगठनों को एक सुरक्षित विकास जीवनचक्र (SDLC) लागू करना चाहिए जो विकास प्रक्रिया के दौरान सुरक्षा विचारों को शामिल करता है। इसमें AI-जनरेटेड कोड की सुरक्षा समीक्षा करना, प्रवेश परीक्षण करना और सुरक्षा निगरानी लागू करना शामिल है।
एक बग बाउंटी कार्यक्रम स्थापित करें
संगठनों को सुरक्षा शोधकर्ताओं को AI-जनरेटेड कोड में कमजोरियों को खोजने और रिपोर्ट करने के लिए प्रोत्साहित करने के लिए एक बग बाउंटी कार्यक्रम स्थापित करना चाहिए। इससे उन कमजोरियों की पहचान करने में मदद मिल सकती है जिन्हें आंतरिक सुरक्षा टीमों ने याद किया होगा।
नवीनतम सुरक्षा खतरों के बारे में सूचित रहें
संगठनों को AI-जनरेटेड कोड को प्रभावित करने वाले नवीनतम सुरक्षा खतरों और कमजोरियों के बारे में सूचित रहना चाहिए। इससे उन्हें संभावित सुरक्षा मुद्दों को सक्रिय रूप से संबोधित करने में मदद मिल सकती है।
सुरक्षा विशेषज्ञों के साथ सहयोग करें
संगठनों को अपने AI-जनरेटेड कोड की सुरक्षा का आकलन करने और जोखिमों को कम करने के लिए रणनीतियों को विकसित करने के लिए सुरक्षा विशेषज्ञों के साथ सहयोग करना चाहिए।
सुरक्षित AI-संचालित कोड जेनरेशन का भविष्य
जैसे-जैसे AI-संचालित कोड जेनरेशन उपकरण विकसित होते रहते हैं, सुरक्षा को प्राथमिकता देना महत्वपूर्ण है। ऊपर उल्लिखित सर्वोत्तम प्रथाओं को लागू करके, संगठन असुरक्षित कोड से जुड़े जोखिमों को कम करते हुए AI-संचालित कोड जेनरेशन के लाभों का उपयोग कर सकते हैं।
AI सुरक्षा में प्रगति
चल रहे अनुसंधान और विकास के प्रयास AI प्रणालियों की सुरक्षा में सुधार करने पर केंद्रित हैं। इन प्रयासों में प्रतिकूल हमलों का पता लगाने और उन्हें रोकने के लिए नई तकनीकों का विकास करना, AI मॉडलों की मजबूती में सुधार करना और अधिक सुरक्षित AI आर्किटेक्चर बनाना शामिल है।
AI विकास में सुरक्षा का एकीकरण
सुरक्षा AI विकास प्रक्रिया में तेजी से एकीकृत हो रही है। इसमें AI मॉडल के डिज़ाइन में सुरक्षा विचारों को शामिल करना, सुरक्षित कोडिंग प्रथाओं का उपयोग करना और विकास जीवनचक्र के दौरान सुरक्षा परीक्षण करना शामिल है।
AI और सुरक्षा विशेषज्ञों के बीच सहयोग
AI प्रणालियों की सुरक्षा सुनिश्चित करने के लिए AI और सुरक्षा विशेषज्ञों के बीच सहयोग आवश्यक है। यह सहयोग संभावित सुरक्षा जोखिमों की पहचान करने और प्रभावी शमन रणनीतियों को विकसित करने में मदद कर सकता है।
AI सुरक्षा जोखिमों के बारे में बढ़ी हुई जागरूकता
AI सुरक्षा जोखिमों के बारे में बढ़ी हुई जागरूकता नए सुरक्षा उपकरणों और तकनीकों के विकास को बढ़ावा दे रही है। इसमें प्रतिकूल हमलों का पता लगाने, AI मॉडलों की सुरक्षा का विश्लेषण करने और संदिग्ध गतिविधि के लिए AI प्रणालियों की निगरानी करने के लिए उपकरण शामिल हैं।
AI-जनरेटेड कोड से जुड़ी सुरक्षा चुनौतियों का समाधान करके, संगठन साइबर हमलों से अपने सिस्टम और डेटा की सुरक्षा करते हुए AI-संचालित विकास की पूरी क्षमता को अनलॉक कर सकते हैं।