Segurança de software na era da IA: o programador no centro da crise

por Carlos Cabral

A antiga chefe de segurança cibernética do governo Obama, Jen Easterly, tem repetido em discursos e entrevistas ao longo dos últimos anos que o problema que assola o mundo em termos de ciberataques não é um problema de cibersegurança, mas sim um problema de software de má qualidade.

Tudo possui software embutido, do relógio que conta seus passos ao dispositivo médico que, neste momento, sustenta a vida de milhares de pessoas nos hospitais. Os desenvolvedores de software, ou programadores, independentemente do que produzem, são, há décadas, pressionados a rapidamente criar coisas que funcionam, muitas vezes em uma velocidade que desprivilegia a segurança. Normas e boas práticas de proteção existem, mas nem sempre são respeitadas e o resultado é a entrega ao consumidor de um produto com vulnerabilidades de todo tipo e complexidade.

Cibercriminosos, então, exploram tais vulnerabilidades com finalidades variadas: da execução de fraudes à espionagem industrial. Então, ter o conhecimento de onde estão as vulnerabilidades e como explorá-las representa uma grande vantagem. Tanto para o cibercriminoso que quer atacar, quanto para o fabricante da tecnologia que quer proteger seu produto.

No mês passado, a empresa de inteligência artificial Anthropic tornou pública a criação de um modelo de IA que tem varrido uma série de tecnologias em busca de vulnerabilidades. Tal modelo se chama Mythos e ele tem sido usado por um conjunto, até então, limitado de cinquenta empresas que fazem parte de um consórcio e que podem submeter seu software para avaliação. A limitação temporária do acesso ao modelo a poucas instituições tem a ver com uma necessidade de controle bastante elementar: se você pode usar o Mythos para encontrar falhas para proteger, também pode abusá-lo com o interesse de atacar.

Leia mais: Meta amplia controle para adolescentes

A Anthropic prometeu publicar o acesso ao Mythos, assim que as salvaguardas que o impeçam de fazer um estrago indiscriminado estejam disponíveis.

Um relatório recente sobre o seu funcionamento até o momento trouxe números relevantes: Mais de 10 mil vulnerabilidades de severidade alta ou crítica foram encontradas no total; empresas do consórcio relataram que sua taxa de descoberta de falhas aumentou extraordinariamente. Um exemplo é a Mozilla que encontrou e corrigiu 271 vulnerabilidades no seu navegador Firefox desde que começou a usar o Mythos. Mas, tal aumento de escala também gerou muito ruído, pois, por trás dos 90,6% de acurácia do modelo, há os quase 10% de casos em que o desenvolvedor foi incomodado com situações que não eram de vulnerabilidade.

O que é estratégico no que temos até agora não é um número isolado, mas a constatação de que o progresso na segurança de software, que costumava ser limitado pela velocidade da descoberta de vulnerabilidades por humanos, agora tende a ter seu gargalo na capacidade de checagem e publicação de correções para um volume enorme de vulnerabilidades encontradas por IA. Até porque o Mythos não será o único a fazer isso, outras empresas estão desenvolvendo modelos semelhantes.

Ou seja, o desenvolvedor de software continua sob pressão: antes pela necessidade de agilidade na entrega de novas funcionalidades e na correção de falhas eventuais e, daqui para frente, pelo desproporcional volume de relatórios de vulnerabilidades com origem em modelos de IA.

Isso tende a acontecer enquanto o desenvolvimento de software ainda for uma atividade humana. O próprio CEO da Anthropic estima que tal trabalho será completamente substituído por IA até o começo do ano que vem, vale lembrar que ele vende um produto para isso. Tal argumento é controverso, mesmo entre os CEOs de tecnologia, Arvind Krishna, CEO da IBM, por exemplo, entende que apenas 20 a 30% do código poderia ser escrito por IA.

De qualquer forma, o trabalho de desenvolvimento de software, de profissão de prestígio por décadas, sobretudo na época do boom das startups, tem hoje sua atuação inserida como ponto central da atual crise de cibersegurança, cuja solução para o problema passa por atolá-los ainda mais de trabalho ou eliminá-los completamente.