Близько 45% коду, згенерованого моделями ШІ, містить серйозні вразливості — такі результати показав аналіз понад 1600 прикладів, згенерованих Codex, GPT-3.5 і GPT-4. Звіт опублікувала компанія Veracode.
Що сталося
Американська компанія Veracode одна з провідних у галузі інтелектуального захисту програмного забезпечення. У своєму нещодавньому звіті команда зазначила, що майже половина відповідей моделей ШІ на 12 тестових завдань містили проблеми безпеки.
Найпоширеніші з них — SQL-інʼєкції, XSS, помилки валідації введення та авторизації. Найгірші результати продемонстрував код на Java: вразливості виявили у 80% випадків. Для Python і JavaScript цей показник був нижчий — 30–40%.
Якість зростала, якщо користувачі просили ШІ враховувати безпеку — це свідчить про важливість точного формулювання запитів.
Чому це важливо
Аналітики пояснюють: мовні моделі прагнуть створити код, який виглядає правильно, але не завжди дотримуються принципів безпечної розробки. Через це програмістам радять не покладатися повністю на ШІ, а перевіряти код вручну та за допомогою інструментів.
Щоб зменшити ризики, Veracode радить:
- запускати статичний аналіз, перевірку коду з самого початку;
- використовувати інструменти Veracode Fix для швидкого виправлення помилок і враховувати безпеку навіть у роботі ШІ-асистентів;
- застосовувати Software Composition Analysis — це аналіз бібліотек з відкритим кодом, щоб виявляти небезпечні компоненти, а ще встановити «фаєрвол для пакетів», який блокує відомі шкідливі залежності ще до встановлення.
Нагадаємо, нещодавно ми писали, що команда дослідників Microsoft проаналізувала 200 000 розмов користувачів із Bing Copilot, щоб зʼясувати, які професії найбільше схильні до автоматизації за допомогою штучного інтелекту.