'n Span navorsers van Stanford Universiteit het die impak van die gebruik van intelligente koderingsassistente op die voorkoms van kwesbaarhede in kode bestudeer. Oplossings gebaseer op die OpenAI Codex-masjienleerplatform is oorweeg, soos GitHub Copilot, wat die generering van redelik komplekse kodeblokke moontlik maak, tot gereedgemaakte funksies. Die kommer is dat aangesien regte kode van publieke GitHub-bewaarplekke, insluitend dié wat kwesbaarhede bevat, gebruik word om die masjienleermodel op te lei, die gesintetiseerde kode foute kan herhaal en kode voorstel wat kwesbaarhede bevat, en ook nie die behoefte om uit te voer in ag neem nie. bykomende kontrole tydens verwerking van eksterne data.
47 vrywilligers met uiteenlopende ervaring in programmering was by die studie betrokke – van studente tot professionele persone met tien jaar ondervinding. Die deelnemers is in twee groepe verdeel - eksperimenteel (33 mense) en kontrole (14 mense). Albei groepe het toegang tot enige biblioteke en internetbronne gehad, insluitend die vermoë om klaargemaakte voorbeelde van Stack Overflow te gebruik. Die eksperimentele groep het die geleentheid gekry om 'n KI-assistent te gebruik.
Elke deelnemer het 5 take gekry wat verband hou met die skryf van kode waarin dit moontlik maklik is om foute te maak wat tot kwesbaarhede lei. Daar was byvoorbeeld take oor die skryf van enkripsie- en dekripsiefunksies, die gebruik van digitale handtekeninge, die verwerking van data betrokke by die vorming van lêerpaaie of SQL-navrae, die manipulering van groot getalle in C-kode, die verwerking van insette wat in webblaaie vertoon word. Om die impak van programmeertale op die sekuriteit van kode wat geproduseer word wanneer AI-assistente gebruik word, te oorweeg, het die opdragte Python, C en JavaScript gedek.
As gevolg hiervan is gevind dat deelnemers wat 'n intelligente KI-assistent gebruik het gebaseer op die codex-davinci-002-model, aansienlik minder veilige kode voorberei het as deelnemers wat nie 'n KI-assistent gebruik het nie. In die algemeen kon slegs 67% van die deelnemers in die groep wat die KI-assistent gebruik het die korrekte en veilige kode verskaf, terwyl in die ander groep hierdie syfer 79% was.
Terselfdertyd was die selfbeeld-aanwysers die teenoorgestelde - deelnemers wat die KI-assistent gebruik het, het geglo dat hul kode veiliger sou wees as dié van deelnemers van die ander groep. Daarbenewens is opgemerk dat deelnemers wat die KI-assistent minder vertrou het en meer tyd bestee het aan die ontleding van die opdragte wat gegee is en veranderinge daaraan aanbring, minder kwesbaarhede in die kode gemaak het.
Byvoorbeeld, kode wat vanaf kriptografiese biblioteke gekopieer is, bevat veiliger verstekparameterwaardes as kode wat deur die AI-assistent voorgestel is. Ook, wanneer die AI-assistent gebruik word, is die keuse van minder betroubare enkripsiealgoritmes en die gebrek aan verifikasiekontroles van teruggekeerde waardes aangeteken. In 'n taak wat getalmanipulasie in C behels, is meer foute gemaak in die kode wat geskryf is met die AI-assistent, wat gelei het tot heelgetal-oorloop.
Daarbenewens kan ons kennis neem van 'n soortgelyke studie deur 'n groep van New York Universiteit, wat in November uitgevoer is, wat 58 studente betrek het wat gevra is om 'n struktuur te implementeer vir die verwerking van 'n inkopielys in C-taal. Die resultate het min impak van die KI-assistent op kodesekuriteit getoon - gebruikers wat die KI-assistent gebruik het, het gemiddeld ongeveer 10% meer sekuriteitsverwante foute gemaak.
Bron: opennet.ru