El GitHub Security Lab ha dado un paso adelante en la gestión de alertas de seguridad al implementar modelos de lenguaje de gran tamaño (LLMs), logrando avances significativos en el tedioso proceso de triage, conocido por su propensión a los falsos positivos. Esta innovación se centra en un nuevo marco de trabajo de inteligencia artificial, el GitHub Security Lab Taskflow Agent, que ha mostrado gran eficiencia en la detección de patrones que hasta ahora escapaban a las herramientas convencionales de análisis de código.
Los especialistas del laboratorio han estado experimentando con la creación de taskflows, archivos YAML que organizan tareas para facilitar el uso de LLMs en el triage de alertas de escaneo de código. Desde agosto, han clasificado numerosas alertas, descubriendo unas 30 vulnerabilidades reales. Varias de estas ya han sido corregidas y documentadas. Durante el proceso, los LLMs realizaron tareas específicas como la búsqueda de archivos y la recolección de datos, sin la necesidad de herramientas de análisis de código adicionales, excepto la generación de alertas con CodeQL.
El marco de trabajo ofrece a los investigadores la capacidad de crear procesos automatizados usando inteligencia artificial, enfocándose en áreas donde los humanos sobresalen en la detección de problemas. Las alertas son filtradas siguiendo criterios claros, permitiendo una identificación más precisa de falsos positivos. Las tareas se organizan en etapas que incluyen la recopilación de datos y la auditoría, culminando en un informe que resume los hallazgos.
Los resultados han permitido una clara identificación de falsos positivos en alertas provenientes de GitHub Actions y otros contextos, subrayando cómo las funciones de seguridad implementadas pueden limitar los riesgos potenciales. Este sistema no solo mejora la precisión en la detección de vulnerabilidades, sino que también se nutre de la retroalimentación durante el proceso de auditoría, lo que optimiza los análisis futuros.
Finalmente, el laboratorio ha liberado el código de los taskflows, promoviendo el desarrollo y uso de flujos de trabajo que fomenten la colaboración en la identificación y mitigación de vulnerabilidades en proyectos de código abierto.
