Más de la mitad de proyectos de IA open source presentan vulnerabilidades

Según un informe elaborado por Endor Labs, algo más de la mitad del centenar de proyectos open source de Inteligencia Artificial que hay en GitHub tienen referencias a paquetes de software open source que tienen vulnerabilidades. En concreto, tienen este problema el 52%.

El informe, titulado State of Dependency Management 2023 (Estado de la gestión de dependencias 2023), explora as tendencias emergentes que las empresas dedicadas al desarrollo de software tienen que tener en cuenta a la hora de realizar y desplegar su estrategia de seguridad. También los riesgos que están asociados con el uso de software open source ya existente en el desarrollo de aplicaciones.

Entre los descubrimientos que recoge el informe está el hecho de que las tecnologías de modelos de lenguaje grandes que hay en la actualidad no pueden utilizarse todavía para apoyar en la detección de malware y en la valoración de riesgos de manera fiable. De hecho, solo son capaces de detectar y categorizar el riesgo de malware que hay en menos de un 10 por ciento de todos los casos. Así que los modelos grandes de lenguaje no son capaces de realizar las labores de los ingenieros AppSec.

Aparte de esto es habitual que las empresas y otras entidades subestimen el riesgo cuando no analizan el uso que hacen de las APIs a través de dependencias open source. El informe desvela que el 45% de las aplicaciones no tienen llamadas a APIs sensibles en cuanto a seguridad en su código. Cuando se incluyen las dependencias, el resultado es todavía más preocupante, ya que solo un 5% tienen llamadas a APIs relacionadas con la seguridad en su código fuente.

Por otra parte, aunque un 71% del código de aplicaciones típico elaborado en Java viene de componentes open source, las aplicaciones solo utilizan un 12% de código importado. Las vulnerabilidades en el código que no se ha utilizado, lógicamente, no suelen poder explotarse, y por eso, el 60% del tiempo que los desarrolladores pasan corrigiendo vulnerabilidades en el código es una pérdida de tiempo. Esto se debe a que durante esos periodos de tiempo se centran sobre todo en solucionar problemas que ni siquiera pueden explotarse en sus aplicaciones.

Henrik Plate, Investigador de seguridad principal del equipo de investigación Station9 de Endor Labs, ha señalado que «el hecho de que haya habido una expansión rápida de nuevas tecnologías relacionadas con la Inteligencia Artificial, y de que estas capacidades estén siendo integradas en muchas otras aplicaciones, es verdaderamente destacable. Pero también es importante monitorizar los riesgos asociados que traen consigo. Estos avances pueden causar un daño considerable si los paquetes seleccionados llevan malware y otros riesgos a la cadena de suministro de software. El informe ofrece una primera visión de esta función tan crítica. Además, lo hace en un momento en e que los primeros que están adoptando protocolos de seguridad que están a la misma altura van a sacar el máximo partido a estas capacidades«.