ШІ пише вразливий код майже в половині випадків — звіт Veracode

Близько 45% коду, згенерованого ШІ, містить серйозні вразливості. Аналітики перевірили понад 1600 прикладів коду, які згенерували моделі OpenAI Codex, GPT-3.5 і GPT-4 у межах 12 різних завдань.

Про це свідчать дані нового звіту компанії Veracode.

Виявилося, що в середньому 45% відповідей містили серйозні проблеми безпеки — наприклад, SQL-інʼєкції, XSS, помилки з валідацією введення чи авторизацією. Найгірші результати показав код на Java: вразливості знайшли у 80% випадків. У Python і JavaScript таких помилок було менше — приблизно 30–40%. Втім, якість значно покращувалась, якщо користувачі прямо просили ШІ враховувати безпеку.

Чому ШІ пише небезпечний код

Veracode пояснюють: моделі ШІ намагаються створити код, який виглядає правильним, але не завжди дотримуються принципів безпечної розробки. Тому програмістам радять не покладатися на ШІ повністю, а перевіряти код вручну і через інструменти пошуку вразливостей.

Для убезпечення дають кілька рекомендацій:

  • запускати перевірку коду (статичний аналіз) з самого початку;
  • використовувати інструменти на кшталт Veracode Fix для швидкого виправлення помилок і враховувати безпеку навіть у роботі ШІ-асистентів.
  • застосовувати Software Composition Analysis — це аналіз бібліотек з відкритим кодом, щоб виявляти небезпечні компоненти, а ще встановити «фаєрвол для пакетів», який блокує відомі шкідливі залежності ще до встановлення.

Нагадаємо, нещодавно ми розповідали, що Anthropic вводить тижневі обмеження на використання Claude, щоб зупинити зловживання — зокрема постійне фонове використання й продаж доступу. Нові ліміти почнуть діяти 28 серпня для всіх користувачів тарифів Pro і Max. Залежно від плану, користувачі отримуватимуть від 40 до 480 годин Sonnet 4 і до 40 годин Opus 4 щотижня.

Похожие статьи:
За словами Михайла Федорова, міністра цифрової трансформації, близько 40 білоруських IT-компаній переїхали в Україну. Частина...
25 травня на The Economist вийшла стаття із суперечливими твердженнями про те, що дрони типу «Шахед» керуються через Telegram-боти....
В опросе приняло участие 3982 человека. Исходные данные для анализа есть на GitHub. Мы же ищем аналитика для проведения этого...
От редакции: в рубрике DOU Books участники сообщества рассказывают о пяти любимых книгах — тех, которые меняют...
Ссылки, на которые лучше таки нажать (по мнению автора), отмечены знаком (!) 8-9 апреля в Киеве пройдет...
Яндекс.Метрика