A programozói oktatás részét kell képezze az MI-kódsegítők használata

Egy új jelentés szerint a mesterséges intelligencia kódoló eszközök "következetesen nem biztonságos kódot generálnak", ami rávilágít az automatizált kódolás egy elhanyagolt aspektusára.

Az MI által generált kód egyre nagyobb hullámokat vet, és a kódrészletekkel való segítségnyújtástól a teljes alkalmazások megírásáig terjed. A Snyk biztonsági szolgáltató azonban azt állítja, hogy az ilyen fajta kódkiegészítés biztonsági kockázatokat visz be a fejlesztési folyamatba, és hogy a fejlesztők aktívan megkerülik az MI felhasználási irányelveket. Az állítások 537 informatikai vezető és fejlesztő körében végzett felmérésen alapulnak az Egyesült Államokból, az Egyesült Királyságból és Kanadából. A felmérés főleg kisebb vállalatokon alapul, a kitöltők közel fele 500 vagy annál kevesebb alkalmazottat foglalkoztató vállalatoknál dolgozik. Az MI kódolási eszközök között szerepelt a ChatGPT (70,3 százalék), az Amazon CodeWhisperer (47,4 százalék) és a GitHub CoPilot (43,7 százalék).

A felmérés szerint a fejlesztők háromnegyede úgy véli, hogy "az MI-kód biztonságosabb, mint az emberi kód". Tekintettel arra, hogy az emberek hajlamosak hibázni, ez talán nem tűnik meglepőnek, de a Snyk kutatói ezt példaként említik a "mélyen beágyazott elfogultságra", amely veszélyes az alkalmazások biztonságára. A válaszadók több mint 70 százaléka úgy érzi, hogy a mesterséges intelligencia kódjavaslatai produktívabbá teszik őket, ami magyarázhatja azt a tényt, hogy a megkérdezettek több mint fele szívesen megkerüli a biztonsági irányelveket, hogy használhassa őket. Közel 55 százalékuk ezt minden alkalommal vagy legtöbbször megteszi. Továbbá, ha a fejlesztők elfogadják a mesterséges intelligencia által generált nem biztonságos kódot, az növelheti annak valószínűségét, hogy másoknak is hasonlóan nem biztonságos kódot javasolnak. Azokban a vállalatokban, amelyek megpróbálják korlátozni az MI kódolóeszközök használatát, a biztonsági aggály a legnagyobb ok, amelyet az adatvédelem, a minőség és a költségek követnek.

A Stanford Egyetem hasonló tanulmánya azt vizsgálta, hogy a fejlesztők hogyan lépnek kapcsolatba az MI kódsegítőkkel, és hogy ezek az interakciók milyen módon okoznak biztonsági hibákat. Bár a tanulmány egyetemi hallgatókra korlátozódott, egyértelműen kiderült belőle, hogy az MI-asszisztens által támogatott kódolás biztonsága nem a fejlesztőn, de nem is az MI-asszisztensen múlik, hanem a kettőjük közötti interakción. Példájukban az MI asszisztens következetesen olyan SQL-t generált, amelynél a lekérdezéseket karakterláncok összekapcsolásával építette fel, ami biztos út az SQL-injekciós sebezhetőségekhez. Egy profi fejlesztőnek azonban ezt el kell utasítania.


A probléma bizonyos szempontból hasonló a példákból vagy a Stack Overflow-ról származó programsorok átmásolásához. Az ilyen kód nem biztos, hogy biztonságos, mert inkább demonstrálja, hogyan kell megoldani egy problémát, mint hogy valami gyártásra alkalmasat kínáljon. A Stanford tanulmánya szerint "az Android-alkalmazások 15,4%-a olyan kódrészletekből áll, amelyeket a felhasználók közvetlenül a Stack Overflow-ról másoltak, és amelyek 97,9%-a tartalmazott sebezhetőséget". A termelékenység és a biztonság közötti kompromisszum ma hasonló lehet a mesterséges intelligencia kódgenerálás gondatlan felhasználói körében.

Az egyik fő probléma az, hogy az emberi intuíció hajlamosnak tűnik arra, hogy jobban megbízzon az MI-motorokban, mint amennyire azt az ismert korlátok indokolják. Köztudott, hogy a generatív mesterséges intelligencia nem megbízható, de nehezen leküzdhető az a beidegződés, miszerint a számítógépek logikusabbak az embereknél. Jó hír viszont, hogy a legképzettebb szakemberek kevesebb ilyen problémával küzdenek. "Azt találtuk, hogy azok a résztvevők, akik több figyelmet fektettek a mesterséges intelligencia asszisztenshez intézett kérdések létrehozásába, például segédfunkciókat adtak meg vagy paramétereket állították be, nagyobb valószínűséggel kaptak biztonságos megoldásokat" - számolnak be a Stanford kutatói.

Ironikus, hogy a Snyk a biztonsági szférában utazó gyártó, és a szervezeteket a sebezhetőségi keresőeszközök és a "DeepCode AI" eszköze használata felé tereli, amely szintén mesterséges intelligencia vezérelt megoldás. Ez egyértelműen azt mutatja, hogy az MI-kódoló eszközökkel együtt kell élnünk, és ma már a professzionális fejlesztői tevékenység kritikus részét kell képezze az ésszerű használatukra vonatkozó képzés.