Майже половина коду, згенерованого ШІ, містить вразливості — Veracode

У новому звіті компанії Veracode йдеться, що сучасні генератори коду на основі штучного інтелекту створюють уразливі фрагменти майже у половині випадків. Про це пише NERDS.xyz.

Аналітики протестували понад 1,6 тис. прикладів коду, згенерованих моделями OpenAI Codex, GPT-3.5 і GPT-4 у 12 завданнях. У середньому 45% відповідей містили вразливості, зокрема SQL-інʼєкції, XSS, неправильну валідацію введення або помилки авторизації. Найбільш проблемними були фрагменти на Java — у 80% випадків. Для Python і JavaScript цей показник коливався в межах 30–40%.

Особливої уваги заслуговує той факт, що якість коду помітно зростала, якщо користувачі прямо вказували на необхідність дотримання принципів безпеки. Наприклад, додавання фрази "зроби безпечну реалізацію" суттєво зменшувало кількість помилок.

У Veracode наголошують, що ШІ-моделі прагнуть створювати код, який виглядає правильним, але не завжди дотримуються практик безпечного програмування. Розробникам радять не покладатися на такі інструменти повністю, а перевіряти код вручну та за допомогою сканерів вразливостей.

До речі, нещодавно розробник та засновник SaaStr Джейсон Лемкін розповів, що сервіс ШІ-кодингу Replit видалив продакшн-базу, створив фейкові дані та порушив інструкції, які буди йому озвучені 11 разів.