About / Advertise 
Att AI används för att söka buggar tycks hittills ha lett till en fördubbling av antalet fynd. Men AI-fynden är i snitt inte lika relevanta som mänskliga utvecklares fynd.
AI-agenter som jagar buggar leder till att klart fler buggar hittas just nu.
Men buggarna verkar ha en annorlunda profil, statistiskt, vilket betyder att gamla tumregler för att prioritera mellan buggar kommer att fungera allt sämre.
Att det rapporteras fler buggar än du hinner åtgärda direkt – det var en verklighet långt innan AI dök upp som buggjägare i höstas.
Alla större kodbaser är fulla av buggar. Du måste prioritera. AI kommer troligen att göra utmaningen värre.
Värre hur? Det försöker Berkeleyuniversitetet att kartlägga i ett projekt kallat Berkeley Vulnerabilites Initative.
Första steget är att undersöka exakt hur AI bidrar AI till buggflödet.
Det finns flera mått – alla svajiga på sitt sätt. Berkeleyuniversitetet tittar på CVE:er, Common Vulnerabilities and Exposures – en lista på kända sårbarheter, det vill säga buggar med seriösa konsekvenser.
En säkerhetsanalytiker på israeliska Zenity, Chris Huges, har tagit en titt på BVI-statistiken, som uppdateras kontinuerligt.
Att AI hittar buggar syns – inte – i statistiken ännu. Den släpar efter. Bara två procent av sårbarhetsflödet just nu attributeras till agentisk AI i BVI-databasen. Summa 361 stycken sårbarheter.
Men det är högst troligt bara en undre gräns. Enligt Chris Huges underskattas exempelvis AI-bidragen i rapporteringen från Anthropics jätteprojekt Glasswing. Bland annat på grund av eftersläpningen mellan fynd och dokumentation, och att det är oklart exakt vilka rapporter som framtagna med hjälp av AI-verktyg.
Chris Huges har tittat på de ännu ganska få AI-attributerade sårbarheter som finns som CVE:er, men noterar att de har en annorlunda profil.
Totalvolymen av CVE:er har drygt fördubblats, men andelen klassiska webbsårbarheter som XSS, SQLi och CSRF har samtidigt mer än halverats. De är alltså buggar som AI alltså rapporterar klart mer sällan.
En annan skillnad finns i buggar som handlar om minnessårbarheter. Sådana är AI-agenter faktiskt flitiga rapportörer av. Däremot är deras fynd mindre sannollika att bli utnyttjade. Deras CVSS , sårbarthetsgradering i CVE-databasen, korrelerar nästan inte alls med risken för att de exploateras.
Dessa buggar är alltså allvarliga rent tekniskt. Men kan mindre sällan utnyttjas i praktiken.
En simpel tumregel för cybersäkerhetsavdelningen är att titta på CVSS-poängen, som är någons skattning av hur mycket skada buggen skulle göra om den utnyttjades. Men en ännu mer fundamental fråga är om just ditt IT-system ens är utsatt för att kunna drabbas av sårbarheten.
Du som fortfarande använder CVSS-poäng för att prioritera buggar hamnar ännu mer fel efter AI:s intåg, noterar Chris Huges.
– Skiftet från allvarlighetsbaserad till exploateringsbaserad prioritering med EPSS och signaler från verkliga attacker bör inte längre ses som en rekommenderad metod, utan som en förutsättning för överlevnad, skriver han.
Resultaten är preliminära. Effekten av AI-agenternas insats inom buggjakt kommer att bli mer synliga under de kommande månaderna.
