Wraz z nadejściem roku 2025 sposób, w jaki tworzymy oprogramowanie, szybko ewoluuje. Kodowanie to już nie tylko niekończące się linie i idealne średniki. Programiści pracują teraz ramię w ramię z asystentami opartymi na sztucznej inteligencji - GitHub Copilot, Amazon CodeWhisperer, ChatGPT - aby tworzyć aplikacje szybciej niż kiedykolwiek. Ta zmiana w przepływie pracy, czasami nazywana “kodowaniem wibracyjnym”, zwiększyła produktywność deweloperów, ale także otworzyła nowe drzwi dla bólu głowy związanego z bezpieczeństwem.
Weźmy na przykład Sanketa Saurava, założyciela DeepSource. Martwi się on, że programiści opierają się na kodzie generowanym przez sztuczną inteligencję, nie sprawdzając tak naprawdę, co kryje się pod maską. Jego obawy? Wady mogą pozostać niewykryte, podobnie jak w przypadku poważnego naruszenia SolarWinds w 2020 roku. Jego zdaniem dokładny przegląd kodu i analiza statyczna są teraz ważniejsze niż kiedykolwiek, aby wychwycić ryzykowne wzorce kodowania, zanim staną się dużymi problemami.
Generatory kodu AI mogą przeoczyć kluczowe szczegóły. Mogą niewłaściwie wykorzystywać biblioteki kodu, a nawet mieć halucynacje - wymyślać biblioteki, które nie istnieją lub sugerować stare, niebezpieczne. Istnieje również “slopsquatting”, w którym atakujący wstawiają złośliwe pakiety o nazwach podobnych do popularnych bibliotek. Jeśli sztuczna inteligencja pobierze niewłaściwą zależność, może otworzyć wrota dla hakerów.
Profesor Rafael Khoury z Université du Québec en Outaouais zagłębił się w te kwestie. Jego badania pokazują, że jeśli nie nadasz sztucznej inteligencji wystarczającego kontekstu, szybko wygeneruje ona niezabezpieczony kod. Widzi on jednak nadzieję w połączeniu metod takich jak FLAG (Finding Line Anomalies with Generative AI) z kontrolą bezpieczeństwa. Zasadniczo FLAG wykrywa podejrzane linie w kodzie generowanym przez sztuczną inteligencję, które zespoły mogą następnie dwukrotnie sprawdzić lub poprosić sztuczną inteligencję o udoskonalenie. Nie jest to srebrna kula, ale w pewnym stopniu rozwiązuje problem luk w zabezpieczeniach.
Mimo to ludzie nie mogą po prostu siedzieć z założonymi rękami. Kevin Hou, który kieruje inżynierią produktu w Windsurf, uważa, że projekty powinny być podzielone na mniejsze, strawne części. Ułatwia to przeglądanie tego, co produkuje sztuczna inteligencja, lepsze testowanie i wychwytywanie wszystkiego, co dziwne, zanim się rozprzestrzeni.
Zespół Windsurf widział ponad 5 miliardów linii wygenerowanych przez sztuczną inteligencję i wie, że łatwo jest obniżyć jakość. Aby informować i angażować swoich programistów, koncentrują się na przejrzystości narzędzi, wyświetlaniu kontekstu we właściwym czasie i upewnianiu się, że każda zmiana kodu jest łatwa do zrozumienia i przejrzenia.
W dobie “kodowania wibracyjnego” szybkość i wygoda są kuszące. Ważne jest jednak, by nie rezygnować z bezpieczeństwa. Halucynowane biblioteki, slopsquatting i staromodne błędy to realne zagrożenia, ale są też środki obrony: inteligentne narzędzia, czujna weryfikacja i zdrowy sceptycyzm wobec tego, co sugeruje sztuczna inteligencja.
Najważniejsze wnioski? Traktuj sztuczną inteligencję jako członka zespołu, a nie jego zastępcę. Sprawdzaj, co pisze. Testuj ją. Ufaj, ale zawsze weryfikuj. To najlepsza droga naprzód, ponieważ kodowanie staje się coraz bardziej inteligentne - i ryzykowne - z każdym rokiem.
Przeczytaj całą historię na stronie: https://www.techtarget.com/searchsecurity/tip/Security-risks-of-AI-generated-code-and-how-to-manage-them
This website uses cookies.