&format=webp)
„Vibe coding“ превзема света на отворения код – и носи със себе си вече познатите рискове
Както малко на брой през днешния ден мелят зърно, с цел да създадат брашно за хляба си, по този начин и множеството софтуерни разработчици не пишат всеки ред от своите кодове от нулата. Подобен метод би бил прекомерно муден и опасен. Вместо това те употребяват подготвени библиотеки, които постоянно имат отворен код, с цел да изградят главните съставни елементи на новите си приложения.
Тази процедура е ефикасна, само че крие закани – неналичието на изясненост и надзор. В момента, когато vibe coding навлиза, картината наподобява още по-сложна. Новият способ разрешава на разработчиците бързо да генерират код благодарение на AI, който по-късно единствено приспособяват, вместо да пишат напълно. Това форсира процеса, само че и в това време уголемява фронта на проблемите в софтуерната верига на доставки.
„ Достигаме до един миг, в който изкуственият разсъдък ще изгуби своя гратисен интервал във връзка с сигурността “, предизвестява Алекс Зенла, основен софтуерен шеф на компанията за облачни услуги Edera пред WIRED.
„ AI може да бъде зложелател, тъй като генерира нерешителен код. Ако системата е подготвена върху стар, уязвим или нискокачествен програмен продукт, всички тези проблеми могат да се възпроизведат още веднъж – дружно с нови и даже по-големи проблеми. “
Vibe coding освен „ гълтам “ евентуално рискови данни, само че и създава недодялан чернови код, който не всеки път регистрира подтекста и спецификите на съответния план. Дори когато дадена компания образова личен местен модел върху своя кодова база и ясни цели, крайният артикул зависи от способността на хората да откриват всяка допустима неточност в това, което първо е генерирала машината.
„ Инженерните екипи би трябвало да премислят целия витален цикъл на разработка в ерата на vibe coding “, споделя Еран Кинсбрунер, откривател в компанията за киберсигурност Checkmarx.
„ Ако помолите един и същи езиков модел да напише код за вашия план два пъти, резултатите няма да бъдат идентични. Един програмист ще получи една версия, а различен – друга. Това прибавя нов пласт затруднение, оттатък обичайния отворен код. “
В изследване на Checkmarx измежду шефове по осведомителна сигурност и мениджъри по разработка една трета от интервюираните показват, че над 60% от техния код е генериран от AI през 2024 година
Само 18% обаче имат лист с утвърдени принадлежности за vibe coding. Компанията отбелязва, че тази наклонност замъглява проследимостта и собствеността върху кода – кой тъкмо го е написал, по какъв начин е променян и дали въобще е минал през инспекцията на човек.
„ Проектите с отворен код постоянно са носели опасности – стар програмен продукт, липса на поддръжка, опция за злонамерено вдишване на контрола. Но най-малко в тях има механизми за бистрота. “
„ AI кодът не е дотам транспарантен “, споделя Дан Фернандес, началник на AI продуктите в Edera.
„ В GitHub можеш да видиш кой е направил дадена смяна, да проследиш комитите, да знаеш кой е взел участие. При изкуствения разсъдък това не е допустимо – няма същото равнище на отчетност и не постоянно е ясно дали кодът е тестван от човек. А и, дано не забравяме, че човешкият код също може да бъде част от казуса. “
Евтино, бързо – и рисково
Зенла показва и различен аспект – vibe coding наподобява като налична опция за основаване на приложения за дребните бизнеси и уязвими общности. Но точно тези групи са най-застрашени от последствията при пробив.
„ Доста се приказва за това по какъв начин изкуственият разсъдък може да оказва помощ на хора в потребност, тъй като понижава усилието да се сътвори нещо работещо “, споделя той. „ И това е правилно. Но сигурността, която vibe coding подкопава, ще засегне най-силно точно хората, които минимум могат да си разрешат това. “
Дори в корпоративния бранш следствията са освен финансови. Едно едва място, внедрено надълбоко в системите посредством автоматизирано генериран код, може да има съществени вреди за репутацията.
„ Факт е, че AI генерираният код към този момент участва в действителни софтуерни планове “, споделя Джейк Уилямс, някогашен хакер в NSA и вицепрезидент по научноизследователска активност в Hunter Strategy.
„ Можем да се поучим от грешките на отворения код в сигурността на софтуерните вериги – или просто няма да го създадем, и тогава ще ни заболи. “
Тази процедура е ефикасна, само че крие закани – неналичието на изясненост и надзор. В момента, когато vibe coding навлиза, картината наподобява още по-сложна. Новият способ разрешава на разработчиците бързо да генерират код благодарение на AI, който по-късно единствено приспособяват, вместо да пишат напълно. Това форсира процеса, само че и в това време уголемява фронта на проблемите в софтуерната верига на доставки.
„ Достигаме до един миг, в който изкуственият разсъдък ще изгуби своя гратисен интервал във връзка с сигурността “, предизвестява Алекс Зенла, основен софтуерен шеф на компанията за облачни услуги Edera пред WIRED.
„ AI може да бъде зложелател, тъй като генерира нерешителен код. Ако системата е подготвена върху стар, уязвим или нискокачествен програмен продукт, всички тези проблеми могат да се възпроизведат още веднъж – дружно с нови и даже по-големи проблеми. “
Vibe coding освен „ гълтам “ евентуално рискови данни, само че и създава недодялан чернови код, който не всеки път регистрира подтекста и спецификите на съответния план. Дори когато дадена компания образова личен местен модел върху своя кодова база и ясни цели, крайният артикул зависи от способността на хората да откриват всяка допустима неточност в това, което първо е генерирала машината.
„ Инженерните екипи би трябвало да премислят целия витален цикъл на разработка в ерата на vibe coding “, споделя Еран Кинсбрунер, откривател в компанията за киберсигурност Checkmarx.
„ Ако помолите един и същи езиков модел да напише код за вашия план два пъти, резултатите няма да бъдат идентични. Един програмист ще получи една версия, а различен – друга. Това прибавя нов пласт затруднение, оттатък обичайния отворен код. “
В изследване на Checkmarx измежду шефове по осведомителна сигурност и мениджъри по разработка една трета от интервюираните показват, че над 60% от техния код е генериран от AI през 2024 година
Само 18% обаче имат лист с утвърдени принадлежности за vibe coding. Компанията отбелязва, че тази наклонност замъглява проследимостта и собствеността върху кода – кой тъкмо го е написал, по какъв начин е променян и дали въобще е минал през инспекцията на човек.
„ Проектите с отворен код постоянно са носели опасности – стар програмен продукт, липса на поддръжка, опция за злонамерено вдишване на контрола. Но най-малко в тях има механизми за бистрота. “
„ AI кодът не е дотам транспарантен “, споделя Дан Фернандес, началник на AI продуктите в Edera.
„ В GitHub можеш да видиш кой е направил дадена смяна, да проследиш комитите, да знаеш кой е взел участие. При изкуствения разсъдък това не е допустимо – няма същото равнище на отчетност и не постоянно е ясно дали кодът е тестван от човек. А и, дано не забравяме, че човешкият код също може да бъде част от казуса. “
Евтино, бързо – и рисково
Зенла показва и различен аспект – vibe coding наподобява като налична опция за основаване на приложения за дребните бизнеси и уязвими общности. Но точно тези групи са най-застрашени от последствията при пробив.
„ Доста се приказва за това по какъв начин изкуственият разсъдък може да оказва помощ на хора в потребност, тъй като понижава усилието да се сътвори нещо работещо “, споделя той. „ И това е правилно. Но сигурността, която vibe coding подкопава, ще засегне най-силно точно хората, които минимум могат да си разрешат това. “
Дори в корпоративния бранш следствията са освен финансови. Едно едва място, внедрено надълбоко в системите посредством автоматизирано генериран код, може да има съществени вреди за репутацията.
„ Факт е, че AI генерираният код към този момент участва в действителни софтуерни планове “, споделя Джейк Уилямс, някогашен хакер в NSA и вицепрезидент по научноизследователска активност в Hunter Strategy.
„ Можем да се поучим от грешките на отворения код в сигурността на софтуерните вериги – или просто няма да го създадем, и тогава ще ни заболи. “
Източник: profit.bg
КОМЕНТАРИ