ШІ пише вразливий код майже в половині випадків — звіт Veracode

💡 Усі статті, обговорення, новини про AI — в одному місці. Приєднуйтесь до AI спільноти!

Близько 45% коду, згенерованого ШІ, містить серйозні вразливості. Аналітики перевірили понад 1600 прикладів коду, які згенерували моделі OpenAI Codex, GPT-3.5 і GPT-4 у межах 12 різних завдань.

Про це свідчать дані нового звіту компанії Veracode.

Виявилося, що в середньому 45% відповідей містили серйозні проблеми безпеки — наприклад, SQL-інʼєкції, XSS, помилки з валідацією введення чи авторизацією. Найгірші результати показав код на Java: вразливості знайшли у 80% випадків. У Python і JavaScript таких помилок було менше — приблизно 30–40%. Втім, якість значно покращувалась, якщо користувачі прямо просили ШІ враховувати безпеку.

Чому ШІ пише небезпечний код

Veracode пояснюють: моделі ШІ намагаються створити код, який виглядає правильним, але не завжди дотримуються принципів безпечної розробки. Тому програмістам радять не покладатися на ШІ повністю, а перевіряти код вручну і через інструменти пошуку вразливостей.

Для убезпечення дають кілька рекомендацій:

• запускати перевірку коду (статичний аналіз) з самого початку;
• використовувати інструменти на кшталт Veracode Fix для швидкого виправлення помилок і враховувати безпеку навіть у роботі ШІ-асистентів.
• застосовувати Software Composition Analysis — це аналіз бібліотек з відкритим кодом, щоб виявляти небезпечні компоненти, а ще встановити «фаєрвол для пакетів», який блокує відомі шкідливі залежності ще до встановлення.

Нагадаємо, нещодавно ми розповідали, що Anthropic вводить тижневі обмеження на використання Claude, щоб зупинити зловживання — зокрема постійне фонове використання й продаж доступу. Нові ліміти почнуть діяти 28 серпня для всіх користувачів тарифів Pro і Max. Залежно від плану, користувачі отримуватимуть від 40 до 480 годин Sonnet 4 і до 40 годин Opus 4 щотижня.

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU