Panduan NCSC Inggris: '10 Pertanyaan untuk Diajukan Saat Menggunakan Model AI untuk Menemukan Kerentanan'

National Cyber Security Centre (NCSC) Inggris menerbitkan panduan pada 11 Mei berjudul '10 Pertanyaan untuk Diajukan Saat Menggunakan Model AI untuk Menemukan Kerentanan.' Dokumen ini menyediakan daftar periksa bagi tim keamanan yang mempertimbangkan atau sudah menerapkan pemindaian dan penemuan kerentanan berbantuan AI. Panduan ini mencakup pertimbangan praktis untuk menggunakan AI (khususnya model bahasa besar) dalam alur kerja keamanan ofensif dan penelitian kerentanan.

Seiring percepatan adopsi AI dalam operasi keamanan, para pembela membutuhkan panduan tentang cara mengevaluasi dan mengatur perkakas keamanan berbantuan AI dengan aman. Panduan NCSC menjembatani kesenjangan antara hype seputar penemuan kerentanan bertenaga AI dan manajemen risiko praktis yang diperlukan untuk menerapkan alat semacam itu secara bertanggung jawab. Panduan ini mengakui bahwa AI dapat menemukan kelas-kelas kerentanan (terutama cacat semantik/logika) yang terlewatkan oleh pemindai tradisional, tetapi juga memperkenalkan risiko operasional dan keamanan baru jika tidak diatur dengan baik.

Tim keamanan yang menerapkan alat penemuan kerentanan berbantuan AI harus merujuk panduan NCSC untuk mengaudit implementasi mereka. Tim kepatuhan harus menggunakan ini sebagai dasar untuk tata kelola AI dalam program manajemen kerentanan. Pertimbangkan untuk menggabungkan daftar periksa NCSC ke dalam kriteria pengadaan untuk perkakas keamanan yang memanfaatkan AI.