Sysbus
InterviewKünstliche Intelligenz

Interview mit Checkmarx

dcg

In unserer Interview-Serie zum Thema KI kommt hier Patrick Siffert, Regional Director DACH & Iberia bei Checkmarx, zu Wort.

Patrick Siffert, Regional Director DACH & Iberia bei Checkmarx – Quelle: Checkmarx

sysbus: „In welchen Bereichen kann KI helfen, die Sicherheit zu verbessern?“
Patrick Siffert: „KI-gestützte Tools spielen im Bereich Anwendungssicherheit eine immer größere Rolle – sie gestalten die Schwachstellenerkennung effizienter, automatisieren Sicherheitsanalysen oder geben Entwicklern gezielte Empfehlungen zur Behebung von Problemen an die Hand. Sie optimieren Code-Scans, reduzieren False Positives und priorisieren Sicherheitsrisiken, sodass sich Entwickler und AppSec-Teams auf die wirklich kritischen konzentrieren können. Mit Blick auf die Sicherheit der Software-Lieferkette sind sie wertvoll, weil sie kompromittierte Open-Source-Abhängigkeiten und bösartige Pakete identifizieren. Auch KI-generierter Code, etwa aus GitHub Copilot oder ChatGPT, kann mithilfe von KI-gestützten Tools auf Schwachstellen überprüft werden, um unsichere Implementierungen frühzeitig zu erkennen und zu vermeiden – KI fungiert also quasi als Korrektiv für KI. Richtig eingesetzt, tragen KI-gestützte Tools dazu bei, die Sicherheit von der ersten Codezeile an im SDLC zu verankern, ohne den Entwicklungsprozess zu verlangsamen.“

sysbus: „Welches sind die größten Gefahren durch Angriffe mithilfe KI?“
Patrick Siffert: „Eine der größten Gefahren, die wir sehen, ergibt sich aus sogenannten Halluzinationen – sprich jeder Situation, in der ein LLM zusätzliche Informationen erfindet, um Lücken zu füllen, oder falsche Annahmen trifft. Fragt ein Entwickler Code von einem LLM ab und das Paket entpuppt sich als eine nicht existente Halluzination, ist das auf den ersten Blick vielleicht einfach nur ärgerlich. Doch Angreifer machen sich diese Halluzinationen zunutze: indem sie die halluzinierten Paketnamen registrieren und die Pakete mit Schadcode füllen. Andere Entwickler, die auf eine ähnliche Abfrage dieselbe Halluzination erhalten, integrieren die vermeintlich authentische Abhängigkeit womöglich in ihr Projekt und machen ihr Unternehmen unwissentlich angreifbar. Durch Halluzinationen verursachte Schwachstellen eröffnen neue Angriffsvektoren innerhalb der Software-Lieferkette und könnten ein echter Gamechanger für Cyberkriminelle sein – eine gangbare Alternative zu traditionelleren, aber leichter erkennbaren Techniken wie Typosquatting oder Masquerading.“

Link: Appsec Tool – Checkmarx Application Security Testing Solution

Das könnte dir auch gefallen

Interview mit Seppmail

dcg

Interview mit Philipp Krähenbühl, Director bei Joule Performance

dcg

Interview mit Rubrik

dcg
Powered by  GDPR Cookie Compliance
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir Ihnen die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in Ihrem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von Ihnen, wenn Sie auf unsere Website zurückkehren, und hilft unserem Team zu verstehen, welche Abschnitte der Website für Sie am interessantesten und nützlichsten sind.