Na primeira conferência Securing Open Source Software (SOSS) Fusion da Linux Foundation, o CEO da empresa de segurança HackerOne, Mårten Mickos, compartilhou seus insights sobre a interseção entre inteligência artificial, software de código aberto e segurança. Em sua palestra, Mickos abriu dizendo: "O poder do código aberto não é que concordamos e fazemos as coisas; é que discordamos e fazemos as coisas.
Esse é o verdadeiro poder quando você tem um modelo de governança que permite que pessoas que não têm nada em comum produzam algo em comum." Isso inclui proteger o software de código aberto.
A Importância do Tempo na Segurança Cibernética
Mickos continuou dizendo que a mais importante "regra da segurança cibernética é que o tempo é tudo. Você pode ter a pior defesa, mas se for a mais rápida, funciona." Ele acrescentou: "Lembro-me de quando a internet tinha 4 milhões de usuários, e lembro-me de quando tinha 40 milhões de usuários. Agora são bilhões e trilhões e zilhões, e tudo está interconectado. Então, qualquer solução que pensávamos que tínhamos ontem, é muito mais complexa hoje."
A Abordagem Colaborativa para a Segurança
Isso significa que "Dado que a ameaça é assimétrica, a única defesa sustentável é trabalhar em conjunto. Quando os mocinhos trabalham juntos, eles são muito mais do que os bandidos." Assim, Mickos defendeu uma abordagem colaborativa para a segurança cibernética, introduzindo o conceito de "defesa em colaboração" ao lado do modelo tradicional de "defesa em profundidade".
Ele citou o popular programa de código aberto curl, que foi muito mais protegido com uma abordagem de colaboração. Este projeto trabalha com a HackerOne e usa um sistema de recompensas para recompensar as pessoas por encontrarem falhas de segurança. "A recompensa por bugs curl", escreveu Daniel Stenberg, fundador da curl, "é um sucesso absoluto e incontestável. Acredito que seja uma parte fundamental da nossa missão de manter nossos usuários seguros e protegidos."
Isso não quer dizer que você não precise de defesa em profundidade também. Você precisa. "Você precisa de várias camadas de defesa. Mas não é suficiente apenas testá-la uma vez. Não é suficiente projetá-la uma vez. Não é suficiente fazer apenas uma coisa. Você tem que fazer todas essas coisas e começar com o princípio de segurança por design."
O Desafio da Inteligência Artificial
Infelizmente, somos ruins nisso. A IA não está ajudando. Como Stenberg observou, "No momento, os usuários parecem interessados em usar o conjunto atual de LLMs, jogando algum código curl neles e então passando a saída como um relatório de vulnerabilidade de segurança. O que torna um pouco mais difícil de detectar é, claro, que os usuários copiam e colam e incluem sua própria linguagem também. A coisa toda não é exatamente o que a IA disse, mas o relatório é, no entanto, uma porcaria." Esses relatórios tomam tempo e energia valiosos dos mantenedores. No entanto, em geral, a abordagem de colaboração funciona.
Agora, a IA também pode ajudar com a segurança. Em sua palestra na mesma conferência, Bruce Schneier, um renomado tecnólogo e autor de segurança, disse que a IA nos dá o poder de "fazer alguma defesa com IA em velocidades de computador que será muito válida. Mas muito disso depende de quão bons esses sistemas de IA são. E aí temos um longo caminho a percorrer." Ainda assim, como Mickox comentou, mesmo uma defesa ruim, mas rápida, pode ser uma ajuda real.
A Necessidade de Transparência
Infelizmente, as empresas de IA fazem um péssimo trabalho com sua própria segurança. Mickos revelou que um estudo recente da HackerOne descobriu que apenas 5% das empresas de IA comunicam proativamente sobre a segurança e proteção da IA em público. De fato, mais da metade não tem nada a dizer sobre suas políticas de segurança.
Esta é uma péssima política. Tomando emprestado o termo "franqueza radical" do líder empresarial Kim Scott, Mickos pediu maior abertura no desenvolvimento de software, incluindo modelos e aplicativos de IA. "Quão abertos podemos ser com IA com pesos, parâmetros e implantações com viés em sistemas? Até onde podemos ir?" A resposta de Micko: Até o fim. "A única coisa que funcionará a longo prazo é para software e IA que podem ser testados e validados de fora."
Para resumir, Mickos acrescentou: "Precisamos praticar o compartilhamento de más notícias porque essa é a única maneira de fazer boas notícias". Se isso significa relatar publicamente falhas de segurança embaraçosas, que assim seja. Ele pediu à comunidade de tecnologia que adote a divulgação de vulnerabilidades sem vergonha, afirmando: "Quanto mais rápido pudermos consertá-las, melhor para todos nós".
Conclusão
Mickos concluiu com uma nota otimista, reconhecendo as recentes melhorias nos esforços de segurança colaborativa, elogiando particularmente as iniciativas do governo dos EUA, como as estruturas NIST e CISA. À medida que a IA permeia o cenário de software, Mickos convoca a indústria de tecnologia a priorizar medidas de segurança colaborativa e transparência diante das ameaças de segurança digital em evolução e sempre crescentes.
Concordo com ele. O código aberto provou ser a maneira de construir software. Se priorizarmos a segurança, o código aberto também será a maneira de proteger nossos programas adequadamente.
