事件经过
英国国家网络安全中心(NCSC)于5月11日发布了题为《使用AI模型发现漏洞时需要问的10个问题》的指导文件。该文档为正在考虑或已经部署AI辅助漏洞扫描和发现的安全团队提供了检查清单。该指导涵盖了在攻击性安全和漏洞研究工作流中使用AI(特别是大语言模型)的实用考虑因素。
影响分析
随着AI在安全运营中的应用加速,防御者需要关于如何安全评估和管理AI辅助安全工具的指导。NCSC指导弥合了AI驱动漏洞发现的炒作与负责任部署此类工具所需的实际风险管理之间的差距。它承认AI可以发现传统扫描器遗漏的漏洞类别(特别是语义/逻辑缺陷),但如果不加以管理,也会引入新的运营和安全风险。
建议行动
部署AI辅助漏洞发现工具的安全团队应参考NCSC指导来审核其实施。合规团队应将此作为漏洞管理程序中AI治理的基准。考虑将NCSC检查清单纳入利用AI的安全工具的采购标准中。