El GitHub Security Lab ha dado un paso al frente en la gestión de alertas de seguridad mediante la implementación de modelos de lenguaje de gran tamaño (LLMs), logrando así innovar en la triage de alertas que suelen implicar un laborioso proceso y resultar en falsos positivos. Este novedoso enfoque descansa en el reciente marco de trabajo de inteligencia artificial conocido como GitHub Security Lab Taskflow Agent, el cual ha mostrado una eficacia notable al identificar patrones que podrían escaparse a las herramientas habituales de análisis de código.
En su objetivo de mejorar la detección de vulnerabilidades, el laboratorio ha estado probando el uso de taskflows, que son archivos YAML diseñados con una serie de tareas dispuestas para facilitar a los LLMs la triage de alertas de escaneo de código. Desde agosto, han logrado clasificar numerosas alertas, descubriendo alrededor de 30 vulnerabilidades reales, de las cuales muchas ya han sido corregidas y difundidas. Sin la necesidad de incorporar herramientas de análisis de código, static o dinámico, más allá de la generación de alertas con CodeQL, los LLMs fueron asignados para realizar tareas simples como la búsqueda de archivos y recolección de datos, capturando hallazgos significativos.
El marco de trabajo habilita a los investigadores para crear automatizaciones con inteligencia artificial que les permitan abordar áreas en donde los humanos superan a las máquinas en efectividad para detectar problemas. Las alertas son gestionadas bajo criterios precisos, lo cual aporta en una mejor identificación de falsos positivos. Las tareas se desarrollan en fases específicas, que incluyen la recopilación de datos y la auditoría de la información reunida, para finalmente generar un informe que sintetice los hallazgos.
Entre los resultados obtenidos, se destaca una identificación precisa de falsos positivos en alertas procedentes de GitHub Actions y otros entornos, donde las configuraciones de seguridad integradas en los flujos de trabajo mitigan riesgos eventuales. Este sistema no solo incrementa la efectividad en la detección de vulnerabilidades, sino que también se nutre de la retroalimentación generada durante la auditoría, optimizando de esta manera futuros análisis.
Con un espíritu de colaboración, el GitHub Security Lab ha puesto a disposición el código de los taskflows para que otros investigadores puedan desarrollar y emplear estos flujos de trabajo, fomentando una cooperación más robusta en la identificación y mitigación de vulnerabilidades en los proyectos de código abierto.
