El GitHub Security Lab ha innovado en el proceso de gestión de alertas de seguridad utilizando modelos de lenguaje de gran tamaño (LLMs), logrando resultados efectivos en la triage de alertas que suelen ser tediosas y propensas a falsos positivos. Este enfoque se basa en la utilización del nuevo marco de trabajo de IA, denominado GitHub Security Lab Taskflow Agent, que ha demostrado ser particularmente eficiente para identificar patrones que suelen escaparse a las herramientas convencionales de análisis de código.
Los expertos del laboratorio han estado experimentando con el uso de taskflows, que son archivos YAML que describen una serie de tareas organizadas de manera que facilitan el uso de LLMs para triage de alertas de escaneo de código. Desde agosto, han logrado clasificar un número significativo de alertas, descubriendo aproximadamente 30 vulnerabilidades reales, muchas de las cuales ya han sido corregidas y publicadas. Durante este proceso, los LLMs fueron asignados a realizar tareas simples como la búsqueda de archivos y la recolección de datos, logrando registrar hallazgos relevantes sin haber incorporado herramientas de análisis de código estático o dinámico, más allá de la generación de alertas con CodeQL.
El marco de trabajo del GitHub Security Lab permite a los investigadores crear flujos de trabajo automatizados utilizando inteligencia artificial para abordar las áreas donde los humanos son mucho más eficientes en la detección de problemas. Las alertas son triadas en base a criterios bien definidos, permitiendo así una identificación más precisa de los falsos positivos. Las tareas se estructuran en etapas que comprenden la recopilación de datos y la auditoría de la información recabada, generando finalmente un informe que resume las conclusiones.
Algunos de los resultados implican una clara identificación de falsos positivos en los alertas generales provenientes de GitHub Actions y otros contextos, donde las funciones o configuraciones de seguridad implementadas en los flujos de trabajo limitan riesgos potenciales. Este sistema no solo mejora la precisión en la detección de vulnerabilidades, sino que también se alimenta de la retroalimentación obtenida durante la auditoría, optimizando así futuros análisis.
Finalmente, el laboratorio ha hecho disponible el código de los taskflows para que otros investigadores puedan desarrollar y utilizar este tipo de flujos de trabajo, potenciando una colaboración más eficiente en la identificación y mitigación de vulnerabilidades en proyectos de código abierto.
vía: GitHub Security
