Un squadra di circadori da l'Università di Stanford hà studiatu l'impattu di l'usu di l'assistenti di codificazione intelligente nantu à l'apparizione di vulnerabili in u codice. Soluzioni basate nantu à a piattaforma di apprendimentu di machine OpenAI Codex sò state cunsiderate, cum'è GitHub Copilot, chì permettenu a generazione di blocchi di codice abbastanza cumplessu, finu à funzioni pronti. A preoccupazione hè chì, postu chì u codice veru da i repositori publichi di GitHub, cumpresi quelli chì cuntenenu vulnerabilità, hè utilizatu per furmà u mudellu d'apprendimentu di macchina, u codice sintetizatu pò ripetiri errori è suggerisce un codice chì cuntene vulnerabilità, è ancu ùn piglia micca in contu a necessità di realizà. cuntrolli supplementari durante u processu di dati esterni.
47 vuluntarii cù una sperienza diversa in a prugrammazione sò stati implicati in u studiu - da studienti à prufessiunali cù dece anni di sperienza. I participanti sò stati divisi in dui gruppi - spirimintali (33 persone) è cuntrollu (14 persone). I dui gruppi avianu accessu à qualsiasi biblioteche è risorse Internet, cumprese l'abilità di utilizà esempi pronti da Stack Overflow. U gruppu sperimentale hè stata data l'uppurtunità di utilizà un assistente AI.
Ogni participante hè stata data 5 compiti ligati à scrive codice in quale hè potenzalmentu faciule fà sbaglià chì portanu à vulnerabili. Per esempiu, ci sò stati compiti nantu à scrittura di criptografia è funzioni di decryption, utilizendu signatura digitale, trasfurmazioni di dati implicati in a furmazione di percorsi di file o dumande SQL, manipulazione di numeri grandi in codice C, processing input affissatu in pagine web. Per cunsiderà l'impattu di i linguaggi di prugrammazione nantu à a sicurità di u codice pruduciutu quandu si usanu assistenti AI, l'assignazioni copre Python, C è JavaScript.
In u risultatu, hè statu truvatu chì i participanti chì anu utilizatu un assistente AI intelligente basatu nantu à u mudellu codex-davinci-002 preparatu un codice significativamente menu sicuru chì i participanti chì ùn anu micca utilizatu un assistente AI. In generale, solu 67% di i participanti in u gruppu chì anu utilizatu l'assistente AI hà sappiutu furnisce un codice currettu è sicuru, mentre chì in l'altru gruppu sta figura era 79%.
À u listessu tempu, l'indicatori di l'autostima eranu u cuntrariu - i participanti chì anu utilizatu l'assistente AI cridianu chì u so codice seria più sicuru di quellu di i participanti di l'altru gruppu. Inoltre, hè statu nutatu chì i participanti chì anu fiducia in l'assistente AI di menu è passanu più tempu à analizà e richieste date è à fà cambiamenti à elli anu fattu menu vulnerabili in u codice.
Per esempiu, u codice copiatu da e biblioteche criptografiche cuntene valori di parametri predefiniti più sicuri di u codice suggeritu da l'assistente AI. Inoltre, quandu si usa l'assistente AI, a scelta di algoritmi di criptografia menu affidabili è a mancanza di cuntrolli di autentificazione di i valori restituiti sò stati registrati. In un compitu chì implica a manipulazione di numeri in C, più errori sò stati fatti in u codice scrittu cù l'assistente AI, purtendu à un overflow integer.
Inoltre, pudemu nutà un studiu simile da un gruppu di l'Università di New York, realizatu in Novembre, chì implica 58 studienti chì sò stati dumandati à implementà una struttura per processà una lista di shopping in lingua C. I risultati anu dimustratu pocu impattu di l'assistente AI nantu à a sicurità di u codice - l'utilizatori chì anu utilizatu l'assistente AI anu fattu, in media, circa 10% più errori di sicurità.
Source: opennet.ru