In team fan ûndersikers fan Stanford University studearre de ynfloed fan it brûken fan yntelliginte kodearring assistinten op it ferskinen fan kwetsberens yn koade. Oplossings basearre op it OpenAI Codex-masjinelearplatfoarm waarden beskôge, lykas GitHub Copilot, dy't de generaasje fan frij komplekse koadeblokken mooglik meitsje, oant klearebare funksjes. De soarch is dat om't echte koade fan iepenbiere GitHub-repositories, ynklusyf dyjingen dy't kwetsberens befetsje, wurdt brûkt om it masine-learmodel te trenen, kin de synthesized koade flaters werhelje en koade foarstelle dy't kwetsberens befettet, en ek net rekken hâldt mei de needsaak om út te fieren ekstra kontrôles by it ferwurkjen fan eksterne gegevens.
47 frijwilligers mei wikseljende ûnderfining yn programmearring wiene belutsen by de stúdzje - fan studinten oant professionals mei tsien jier ûnderfining. De dielnimmers waarden ferdield yn twa groepen - eksperiminteel (33 minsken) en kontrôle (14 minsken). Beide groepen hiene tagong ta alle biblioteken en ynternetboarnen, ynklusyf de mooglikheid om klearmakke foarbylden fan Stack Overflow te brûken. De eksperimintele groep krige de kâns om in AI-assistint te brûken.
Elke dielnimmer krige 5 taken yn ferbân mei it skriuwen fan koade wêryn it mooglik maklik is om flaters te meitsjen dy't liede ta kwetsberens. Bygelyks, d'r wiene taken op it skriuwen fan fersifering- en ûntsiferfunksjes, it brûken fan digitale hantekeningen, it ferwurkjen fan gegevens belutsen by de foarming fan triempaden of SQL-fragen, it manipulearjen fan grutte oantallen yn C-koade, it ferwurkjen fan ynput werjûn yn websiden. Om de ynfloed fan programmeartalen te beskôgjen op 'e feiligens fan koade produsearre by it brûken fan AI-assistinten, behannele de opdrachten Python, C en JavaScript.
As resultaat waard fûn dat dielnimmers dy't in yntelliginte AI-assistint brûkten basearre op it codex-davinci-002-model, in signifikant minder feilige koade tariede as dielnimmers dy't gjin AI-assistint brûkten. Oer it algemien koe mar 67% fan 'e dielnimmers yn' e groep dy't de AI-assistint brûkten in korrekte en feilige koade leverje, wylst yn 'e oare groep dit sifer 79% wie.
Tagelyk wiene de yndikatoaren foar selswearde it tsjinoerstelde - dielnimmers dy't de AI-assistint brûkten leauden dat har koade feiliger soe wêze as dy fan dielnimmers út 'e oare groep. Dêrnjonken waard opmurken dat dielnimmers dy't de AI-assistint minder fertrouden en mear tiid bestege oan it analysearjen fan de jûnen prompts en it meitsjen fan wizigingen yn har minder kwetsberens makken yn 'e koade.
Bygelyks, koade kopiearre út kryptografyske bibleteken befette feiliger standertparameterwearden dan koade foarsteld troch de AI-assistint. Ek by it brûken fan de AI-assistint waarden de kar fan minder betroubere fersiferingsalgoritmen en it gebrek oan autentikaasjekontrôles fan weromjûne wearden opnommen. Yn in taak mei nûmermanipulaasje yn C, waarden mear flaters makke yn 'e koade skreaun mei de AI-assistint, wat liedt ta oerstreaming fan heule getal.
Derneist kinne wy opmerke in ferlykbere stúdzje troch in groep út New York University, útfierd yn novimber, wêrby't 58 studinten dy't waard frege om te fieren in struktuer foar it ferwurkjen fan in winkellist yn C taal. De resultaten lieten in bytsje ynfloed sjen fan 'e AI-assistint op koadebefeiliging - brûkers dy't de AI-assistint brûkten makken gemiddeld sawat 10% mear feiligens-relatearre flaters.
Boarne: opennet.ru