Новое исследование компании Veracode показало, что около 45% кода, созданного искусственным интеллектом, имеет уязвимости, хотя и кажется готовым к эксплуатации.
Исследование охватило более 100 больших языковых моделей на 80 задачах по программированию. Ни размер, ни дата создания моделей не повлияли на безопасность. «Результаты исследования демонстрируют: модели совершенствуются в синтаксисе, но не в безопасности», — подчеркнул технический директор Veracode Йенс Вёсслинг.
В Java обнаружено свыше семидесяти процентов сбоев. Python, C# и JavaScript также демонстрируют значительный процент ошибок: от тридцати восьми до сорока пяти процентов.
Часто искусственный интеллект не способен защитить от атак типа XSS (86%) и логических инъекций (88%). По сведениям Veracode, все больше разработчиков применяют ИИ не только как помощника, но и как инструмент для генерации кода.
Йенс Вёсслинг считает, что проблема связана с новой практикой «вайб-кодинга». По его мнению, она кардинально меняет подход к разработке программного обеспечения.
Специалисты Veracode советуют внедрять автоматизированные проверки безопасности, применять инструменты искусственного интеллекта для устранения недостатков и обучать разработчиков созданию кода с помощью ИИ, учитывая риски. «Ассистенты и автономные рабочие процессы — это будущее, однако безопасность не должна быть последующей мыслью. В противном случае накопление уязвимостей станет необратимым», — предупреждают в Veracode.