Американська компанія Veracode одна з провідних у галузі інтелектуального захисту програмного забезпечення. У своєму нещодавньому звіті команда зазначила, що майже половина відповідей моделей ШІ на 12 тестових завдань містили проблеми безпеки.

Найпоширеніші з них — SQL-інʼєкції, XSS, помилки валідації введення та авторизації. Найгірші результати продемонстрував код на Java: вразливості виявили у 80% випадків. Для Python і JavaScript цей показник був нижчий — 30–40%.

Якість зростала, якщо користувачі просили ШІ враховувати безпеку — це свідчить про важливість точного формулювання запитів.

Аналітики пояснюють: мовні моделі прагнуть створити код, який виглядає правильно, але не завжди дотримуються принципів безпечної розробки. Через це програмістам радять не покладатися повністю на ШІ, а перевіряти код вручну та за допомогою інструментів.

Щоб зменшити ризики, Veracode радить:

• запускати статичний аналіз, перевірку коду з самого початку;
• використовувати інструменти Veracode Fix для швидкого виправлення помилок і враховувати безпеку навіть у роботі ШІ-асистентів;
• застосовувати Software Composition Analysis — це аналіз бібліотек з відкритим кодом, щоб виявляти небезпечні компоненти, а ще встановити «фаєрвол для пакетів», який блокує відомі шкідливі залежності ще до встановлення.