ШІ пише «небезпечний» код майже в половині випадків — звіт Veracode

Близько 45% коду, згенерованого ШІ, містить серйозні вразливості. Аналітики перевірили понад 1600 прикладів коду, які згенерували моделі OpenAI Codex, GPT-3.5 і GPT-4 у межах 12 різних завдань.

Про це свідчать дані нового звіту компанії Veracode.

Виявилося, що в середньому 45% відповідей містили серйозні проблеми безпеки — наприклад, SQL-інʼєкції, XSS, помилки з валідацією введення чи авторизацією. Найгірші результати показав код на Java: вразливості знайшли у 80% випадків. У Python і JavaScript таких помилок було менше — приблизно 30–40%. Втім, якість значно покращувалась, якщо користувачі прямо просили ШІ враховувати безпеку.

Чому ШІ пише небезпечний код

Veracode пояснюють: моделі ШІ намагаються створити код, який виглядає правильним, але не завжди дотримуються принципів безпечної розробки. Тому програмістам радять не покладатися на ШІ повністю, а перевіряти код вручну і через інструменти пошуку вразливостей.

Для убезпечення дають кілька рекомендацій:

  • запускати перевірку коду (статичний аналіз) з самого початку;
  • використовувати інструменти на кшталт Veracode Fix для швидкого виправлення помилок і враховувати безпеку навіть у роботі ШІ-асистентів.
  • застосовувати Software Composition Analysis — це аналіз бібліотек з відкритим кодом, щоб виявляти небезпечні компоненти, а ще встановити «фаєрвол для пакетів», який блокує відомі шкідливі залежності ще до встановлення.

Нагадаємо, нещодавно ми розповідали, що Anthropic вводить тижневі обмеження на використання Claude, щоб зупинити зловживання — зокрема постійне фонове використання й продаж доступу. Нові ліміти почнуть діяти 28 серпня для всіх користувачів тарифів Pro і Max. Залежно від плану, користувачі отримуватимуть від 40 до 480 годин Sonnet 4 і до 40 годин Opus 4 щотижня.

Похожие статьи:
В рубрике DOU Проектор все желающие могут презентовать свой продукт (как стартап, так и ламповый pet-проект). Если вам есть о чем...
У застосунку «Резерв+» з’явилася функція подання заявки на укладення контракту в межах проєкту «Контракт 18-24». Про...
С января по июль 2016 количество сотрудников в компаниях ТОП-25 выросло на 1192 человека, это 9% роста в годовом...
Редакція DOU вже написала про більшу частину технічних спеціальностей у межах рубрики «Кар’єра в IT»....
Компания Kingston представила защищённый флеш-накопитель DataTraveler 2000, где применяется аппаратное...
Яндекс.Метрика