ШІ пише вразливий код майже в половині випадків — звіт Veracode
Близько 45% коду, згенерованого ШІ, містить серйозні вразливості. Аналітики перевірили понад 1600 прикладів коду, які згенерували моделі OpenAI Codex, GPT-3.5 і GPT-4 у межах 12 різних завдань.
Про це свідчать дані нового звіту компанії Veracode.
Виявилося, що в середньому 45% відповідей містили серйозні проблеми безпеки — наприклад, SQL-інʼєкції, XSS, помилки з валідацією введення чи авторизацією. Найгірші результати показав код на Java: вразливості знайшли у 80% випадків. У Python і JavaScript таких помилок було менше — приблизно
Чому ШІ пише небезпечний код
Veracode пояснюють: моделі ШІ намагаються створити код, який виглядає правильним, але не завжди дотримуються принципів безпечної розробки. Тому програмістам радять не покладатися на ШІ повністю, а перевіряти код вручну і через інструменти пошуку вразливостей.
Для убезпечення дають кілька рекомендацій:
- запускати перевірку коду (статичний аналіз) з самого початку;
- використовувати інструменти на кшталт Veracode Fix для швидкого виправлення помилок і враховувати безпеку навіть у роботі ШІ-асистентів.
- застосовувати Software Composition Analysis — це аналіз бібліотек з відкритим кодом, щоб виявляти небезпечні компоненти, а ще встановити «фаєрвол для пакетів», який блокує відомі шкідливі залежності ще до встановлення.
Нагадаємо, нещодавно ми розповідали, що Anthropic вводить тижневі обмеження на використання Claude, щоб зупинити зловживання — зокрема постійне фонове використання й продаж доступу. Нові ліміти почнуть діяти 28 серпня для всіх користувачів тарифів Pro і Max. Залежно від плану, користувачі отримуватимуть від 40 до 480 годин Sonnet 4 і до 40 годин Opus 4 щотижня.
