Приблизно 45% коду, створеного штучним інтелектом, має серйозні вразливості. Аналітики проаналізували понад 1600 зразків коду, згенерованих моделями OpenAI Codex, GPT-3.5 і GPT-4 під час виконання 12 різних завдань.
Ці результати було представлені у новому звіті компанії Veracode.
Виявилося, що в середньому 45% відповідей мали суттєві проблеми безпеки, такі як SQL-ін’єкції, XSS-атаки, помилки у валідації введення та авторизації. Найгірші показники виявилися у коді на Java, де вразливості були виявлені в 80% випадків. Для Python і JavaScript цей показник становив приблизно 30-40%. Проте, ситуація значно поліпшувалася, якщо користувачі прямо наголошували на необхідності врахування безпеки в запитах до штучного інтелекту.
Чому штучний інтелект створює небезпечний код
Компанія Veracode зазначає, що моделі штучного інтелекту прагнуть створити код, який виглядає правильним, але не завжди дотримуються принципів безпечного програмування. Тому програмістам рекомендовано не покладатися на штучний інтелект повністю, а перевіряти код вручну і за допомогою спеціалізованих інструментів для виявлення вразливостей.
Якщо говорити про запобігання вразливостям, експерти надають кілька рекомендацій:
- здійснювати перевірку коду (статичний аналіз) на ранніх етапах розробки;
- використовувати інструменти на кшталт Veracode Fix для швидкого усунення помилок, а також враховувати безпеку під час роботи зі штучними асистентами;
- застосовувати аналіз складу програмного забезпечення (Software Composition Analysis) для виявлення небезпечних компонентів, а також впроваджувати «фаєрвол для пакетів», що блокує відомі шкідливі залежності до встановлення.
Нещодавно також повідомлялося, що компанія Anthropic запроваджує тижневі обмеження на використання свого продукту Claude для запобігання зловживанням, зокрема постійному фоновому використанню і перепродажу доступу. Нові ліміти набудуть чинності 28 серпня і стосуватимуться всіх користувачів тарифів Pro і Max. В залежності від обраного плану, користувачі отримуватимуть від 40 до 480 годин доступу до Sonnet 4 та до 40 годин Opus 4 щотижня.