GitHub并不是仅仅利用大型语言模型（LLM）来发现潜在的代码漏洞，该公司还利用这些强大的模型来检测泄露的密码，并且降低了误报率。

GitHub预见到人工智能在软件开发生命周期中，包括安全性方面的关键作用。在过去的一年里，公司已经将超过70项功能整合进了GitHub高级安全中。然而，在2023年11月举办的GitHub Universe大会上，它宣布将生成式AI加入其中。

公司现在相信，安全漏洞可以在代码编写阶段就被识别出来。通过利用一个LLM，GitHub现在不仅能识别潜在的漏洞，还能从一开始就为开发者提供安全的代码建议。

"有了自动修复，我们将在拉取请求中为他们建议修复方案。因此，开发人员不仅会看到警报，还会在那儿看到由AI提供的建议性修复措施。“Jacob Depriest，GitHub的副总裁兼副首席安全官，在接受AIM采访时说。

这些不是普通的修复措施。它们是简明、可操作的建议，用于迅速理解和解决漏洞。开发人员现在可以更快地解决问题，并防止新的漏洞悄然进入你们的代码库。

Depriest说GitHub已经看到了这项新功能的巨大成功，“这意味着，当开发者在工作时收到警报，他们大约有50%的时间在代码投入生产前就解决了问题，这是非常重要的。"

利用AI保护秘密

GitHub不仅仅是为了发现潜在的代码漏洞而使用LLM，公司还利用这些强大的模型来检测泄漏的密码，并且减少误报。

根据Depriest的说法，几乎80%的安全漏洞是由凭证泄露或机密泄露引起的。“秘密扫描一直是GitHub高级安全的核心部分，构成了我们安全计划的关键组成部分。

“现在有了人工智能，我们也将检测代码中的通用秘密和低置信度模式，这将显著提升这一能力，并在秘密甚至进入生产前就捕捉并保护它们。”

此外，Depriest认为安全问题始于开发人员，更准确地说，是始于开发人员的账户。考虑到出现大量凭证泄露，它选择大力推进为 github.com 上的所有贡献者启用多因素认证。

"这并不容易做到，也不是快速能做到的。这需要大量的计划和投资才能实现。但我们真的相信这是正确的做法。"他说。

而现在，新的秘密扫描功能的推出，让GitHub能够在代码中检测到通用或非结构化的秘密。

针对AI漏洞的保护

尽管GitHub对利用人工智能在网络安全方面持乐观态度，但生成式AI的时代也呈现了各种情况，其中它成为一个实质性的网络安全威胁。例如，提示注入攻击仍然是网络安全团队需要解决的一项重大挑战。随着时间的推移，我们看到LLMs容易受到提示注入攻击的攻击。

鉴于GitHub与微软的紧密联盟，它可能正在利用OpenAI的GPT模型，尤其是迄今为止最先进的GPT-4。然而，也发现GPT-4容易受到提示注入攻击。

Depriest认为，工具内的负责任集成和安全措施对于防范此类操控至关重要。这种方法对于确保涉及提示注入和类似漏洞情境的保护至关重要。

此外，根据Depriest的说法，在AI时代，保护基础设施和整个网络工作空间仍然是网络安全的一个关键方面。

“我们用与保护 github.com 相同的勤勉，对待这个责任。这包括威胁检测、安全运营和确保代码安全，并且这也适用于AI模型。我们在核心责任的所有方面维持统一的控制和合规原则。"

人工智能是否从根本上改变了网络安全？

尽管GitHub在很大程度上依赖生成式AI能力，包括用于网络安全，Depriest并不认为它会从根本上改变网络安全格局。

"现实是，每一项新技术都是双重用途的。这一模式在过去二十年的各种技术中一直保持一致。我仍然不认为它会从根本上改变我们的安全方法，我们需要做什么，我们的工作是什么，以及我们将如何保持平台的安全。"

他坚信，从一开始就生成安全代码并持续维护其安全性的优势远远超过了与某些威胁相关的潜在风险。