¡Su proyecto de codificación Vibe está plagado de vulnerabilidades!
Desarrollar software con IA ha pasado de ser ciencia ficción a la realidad. Tu proyecto codificado con IA puede funcionar a la perfección… hasta que los hackers encuentren las fallas. En esta publicación, explicaremos cómo pasar de un código generado por IA, repleto de hallazgos y vulnerabilidades, a un producto confiable mediante un experimento que realizamos para probar los flujos de trabajo de análisis y autocorrección con agentes de IA de Scribe en un proyecto real creado con la plataforma de programación Bolt.new vibe.
Generando el Proyecto
El desafío era simple:
Cree una aplicación web que monitoree las líneas GPIO de hardware en tiempo real y muestre su estado en una página web actualizada dinámicamente.
Con un solo mensaje, Bolt.new generó el proyecto completo: un proyecto Node.js completo con un servidor WebSocket, un front-end React.js e incluso un archivo README.md para GitHub.
El proceso de generación tomó sólo tres minutos y pudimos descargar el código a un entorno Linux local (Ubuntu 22.04 en WSL), instalarlo y ejecutarlo.
Funcionó de inmediato, lo cual nos sorprendió. Aquí está la captura de pantalla de la aplicación en ejecución:
Primeras impresiones
Una vez implementado, analizamos a fondo la estructura del proyecto. La aplicación tenía 20 archivos de código fuente y 15 archivos de configuración. La instalación completa, incluyendo las dependencias, sumaba más de 10,000 XNUMX archivos. Esto planteó una pregunta importante: ¿Cuán seguro y fiable es este código generado por IA?
Fase 1: Instrumentación tradicional
Nuestro primer paso fue ejecutar la instrumentación clásica de Scribe, recopilando las comprobaciones de seguridad del proceso de compilación. Esto nos proporcionó:
– SBOMs detallados (Listas de materiales de software)
– Informes de vulnerabilidad (dependencias directas y transitivas)
– Hallazgos del SAST (análisis estático)
– Resultados de escaneo secretos
Informe de vulnerabilidad
- Vulnerabilidades críticas de 4
- 6 vulnerabilidades de alta gravedad
Hallazgos del SAST
- 3 hallazgos de alta gravedad
- 12 hallazgos de gravedad media
Fase 2: Autorremediación con Scribe AI
A continuación, subimos el proyecto a GitHub y lo usamos RemusFlujo de trabajo de la agencia de remediación automática de IA de Scribe. Remus, De hecho, una red de four Agentes de inteligencia artificialEstá diseñado para operar de forma autónoma y colaborativa. Cada agente cuenta con capacidades especializadas, lo que permite un enfoque distribuido para la resolución de problemas complejos. Esta arquitectura permite que la herramienta gestione una amplia gama de tareas, desde el análisis de datos y el reconocimiento de patrones hasta la toma de decisiones y el modelado predictivo.
Correr Remus condujo a una solicitud de extracción con correcciones específicas para las vulnerabilidades identificadas previamente y los problemas de SAST.
He aquí un ejemplo de una confirmación sugerida automáticamente por Remus Para corregir una vulnerabilidad:
Después de fusionar el PR, reconstruimos el proyecto, validamos que funcionara como antes y volvimos a escanearlo para detectar problemas.
Resultados después Remus Remediación
¡La transformación fue dramática!
– Análisis de vulnerabilidad: solo quedó 1 problema de gravedad media
– Hallazgos del SAST: todos corregidos excepto un elemento de gravedad media
El flujo de trabajo de remediación de agentes de IA de Scribe resolvió eficazmente problemas críticos y de alta gravedad, dejando solo problemas menores para la intervención manual, sin obstaculizar la funcionalidad del producto.
Puntos clave
Este experimento demostró que:
- Si bien el código generado por IA puede parecer completamente funcional inicialmente, su funcionalidad inmediata conlleva importantes riesgos de seguridad y problemas de confianza. Los proyectos que utilizan dicho código se enfrentan a un alto riesgo por parte de actores maliciosos.
- La instrumentación de seguridad en el pipeline es esencial. El plugin de GitHub de Scribe reveló múltiples vulnerabilidades de alto impacto en el proyecto generado.
- El flujo de trabajo de la agencia de remediación automática impulsada por IA de Scribe es poderoso: redujo drásticamente el perfil de riesgo del proyecto con correcciones automatizadas y dejó el proyecto completamente funcional.
Conclusión
La combinación de proyectos generados por IA y la remediación impulsada por IA sugiere un futuro donde el software se crea y se protege más rápido que nunca. Si bien la supervisión humana sigue siendo crucial, herramientas como ScribeHub Con sus flujos de trabajo AppSec basados en inteligencia artificial, se demuestra que la reparación automatizada de código no solo es posible, sino que es práctica.
Este contenido es presentado por Scribe Security, un proveedor líder de soluciones de seguridad de la cadena de suministro de software de extremo a extremo, que ofrece seguridad de última generación para artefactos de código y procesos de desarrollo y entrega de código en todas las cadenas de suministro de software. Más información.
Artículos relacionados con
