El GitHub Security Lab ha revolucionado la gestión de alertas de seguridad al integrar modelos de lenguaje de gran tamaño (LLMs) en sus procesos, mejorando notablemente la triage de alertas. Este avance se sustenta en el GitHub Security Lab Taskflow Agent, un nuevo marco de trabajo de IA que ha mostrado gran eficacia al identificar patrones que frecuentemente escapan a las herramientas tradicionales de análisis de código.
Los investigadores del laboratorio han estado experimentando con taskflows, archivos YAML que detallan una serie de tareas organizadas para facilitar el uso de LLMs en la triage de alertas de escaneo. Desde agosto, han logrado clasificar numerosas alertas, descubriendo alrededor de 30 vulnerabilidades reales, muchas de las cuales ya han sido corregidas y publicadas. En este proceso, los LLMs se encargaron de tareas como la búsqueda de archivos y la recopilación de datos, obteniendo hallazgos relevantes sin requerir herramientas de análisis de código estático o dinámico adicionales, más allá de CodeQL.
El marco de trabajo del GitHub Security Lab permite la creación de flujos automatizados que utilizan inteligencia artificial, enfocándose en las áreas donde los humanos son más eficientes en la detección de problemas. Las alertas se triagan mediante criterios bien definidos, mejorando la identificación de falsos positivos, y las tareas se estructuran en etapas que incluyen la recopilación de datos y la auditoría de información, culminando en un informe con las conclusiones.
El nuevo sistema permite identificar claramente falsos positivos en alertas generales de GitHub Actions y otros contextos, optimizando configuraciones de seguridad que mitigan riesgos potenciales. No solo mejora la precisión en la detección de vulnerabilidades, sino que también utiliza la retroalimentación de las auditorías para optimizar futuros análisis.
Finalmente, el laboratorio ha liberado el código de los taskflows para que otros investigadores puedan utilizarlos y desarrollarlos, fomentando así una colaboración más efectiva en la identificación y mitigación de vulnerabilidades en proyectos de código abierto.
