El GitHub Security Lab ha dado un gran paso adelante en la gestión de alertas de seguridad mediante la implementación de modelos de lenguaje de gran tamaño (LLMs), los cuales han demostrado ser altamente efectivos en el proceso de triage de alertas, una tarea que a menudo resulta tediosa y propensa a falsos positivos. Este avance se ha logrado gracias al desarrollo de un nuevo marco de trabajo de inteligencia artificial denominado GitHub Security Lab Taskflow Agent, que ofrece una eficiencia particular para identificar patrones complejos que suelen pasar desapercibidos con las herramientas convencionales de análisis de código.
Los investigadores del laboratorio han estado experimentando con los llamados taskflows, que son archivos YAML diseñados para describir una serie de tareas sistematizadas que facilitan la utilización de LLMs en la clasificación de alertas de escaneo de código. Desde el pasado agosto, han conseguido clasificar un número significativo de alertas, identificando unas 30 vulnerabilidades reales, muchas de las cuales ya han sido corregidas y publicadas. En este proceso, los LLMs se han encargado de realizar tareas simples como la búsqueda de archivos y la recolección de datos, logrando identificar hallazgos relevantes sin necesidad de utilizar herramientas de análisis de código estático o dinámico, salvo por la generación de alertas mediante CodeQL.
Este marco de trabajo permite a los investigadores crear flujos de trabajo automatizados utilizando inteligencia artificial para atacar áreas donde los humanos pueden ser más eficientes en la detección de problemas. Las alertas son ordenadas según criterios bien definidos, lo cual permite lograr una identificación más precisa de los falsos positivos. Las tareas están estructuradas en fases que incluyen la recopilación de datos y la auditoría de la información recopilada, concluyendo con un informe que resume las conclusiones obtenidas.
Entre los resultados obtenidos, se destaca una clara identificación de falsos positivos en las alertas generales que provienen de contextos como GitHub Actions, donde las funciones o configuraciones de seguridad implementadas limitan riesgos potenciales. Este sistema no solo mejora la precisión en la detección de vulnerabilidades, sino que también optimiza futuros análisis mediante la retroalimentación obtenida durante la auditoría.
Finalmente, el laboratorio ha puesto a disposición el código de los taskflows para que otros investigadores puedan desarrollar y utilizar estos flujos de trabajo, promoviendo así una colaboración más eficaz en la identificación y mitigación de vulnerabilidades en proyectos de código abierto.
