AI is een gevaar voor cybersecurity

In dit artikel:

Tijdens zijn keynote op FroSCon waarschuwde Bagder voor wat hij "AI slop" noemt: door AI gegenereerde fout- en kwetsbaarheidsmeldingen die op het eerste gezicht geloofwaardig lijken maar inhoudelijk vaak onjuist, tegenstrijdig of irrelevant zijn. Deze valse rapporten bevatten soms compleet gefabriceerde verhaallijnen en verwijzen naar code die niet eens gebruikt wordt. Veel melders lijken hun eigen AI-output niet te controleren en hopen een beloning te krijgen voor zogenaamd ontdekte fouten.

Ook beveiligingsjournalist Brian Krebs stuitte recent op vergelijkbare rommel in de context van een datalek en reageerde scherp op een onduidelijke blogpost van Trend Micro, die hij vermoedelijk aan AI-productie toeschrijft. Zulke slecht onderbouwde analyses van beveiligingsbedrijven misleiden zowel publiek als pers en vergroten het risico dat serieuze incidenten over het hoofd worden gezien door de stortvloed aan valse signalen.

De kernboodschap: in de huidige praktijk draagt AI meer bij aan ruis dan aan echte securityverbetering. Om schade te voorkomen is strikte menselijke controle en verificatie van AI-geproduceerde bevindingen noodzakelijk, evenals terughoudendheid bij het publiceren van ongetoetste analyses.