El GitHub Security Lab ha dado un paso significativo en la gestión de alertas de seguridad implementando modelos de lenguaje de gran tamaño (LLMs) para mejorar el tedioso y a veces ineficaz proceso de triage de alertas. Gracias a esta innovadora metodología, el laboratorio ha logrado identificar patrones que escapan a los análisis convencionales, mejorando la efectividad y eficiencia.
El nuevo marco de trabajo, denominado GitHub Security Lab Taskflow Agent, ha permitido implementar taskflows, descritos en archivos YAML, que definen tareas organizadas para facilitar el uso de LLMs en el análisis de alertas de escaneo de código. Desde su implementación en agosto, este sistema ha clasificado numerosas alertas y descubierto alrededor de 30 vulnerabilidades reales, de las cuales muchas ya han sido corregidas. Los LLMs se encargan de tareas simples como la búsqueda de archivos y la recopilación de datos, sin necesidad de herramientas avanzadas de análisis de código.
Este marco de trabajo no solo automatiza flujos de trabajo utilizando inteligencia artificial, sino que también permite a los investigadores enfocarse en áreas críticas donde la intervención humana es más necesaria. Las alertas son clasificadas basándose en criterios claros, mejorando la precisión al reducir los falsos positivos. El sistema estructura las tareas en etapas como la recopilación de datos y la auditoría de información, proporcionando finalmente un informe con las conclusiones obtenidas.
Los resultados son notables, especialmente en la identificación de falsos positivos provenientes de GitHub Actions y otros contextos, donde las medidas de seguridad implementadas reducen los riesgos. La precisión en la detección de vulnerabilidades ha mejorado notablemente, y el sistema se optimiza a través de la retroalimentación contínua obtenida durante las auditorías.
En un esfuerzo por fomentar la colaboración, el laboratorio ha puesto a disposición el código de los taskflows para que otros investigadores puedan desarrollar y utilizar estos flujos de trabajo, promoviendo así una detección más eficiente y mitigación de vulnerabilidades en proyectos de código abierto.