Пишете код с помощта на изкуствен интелект? Поздравления, научихте ИИ да пише троянски коне по-добре от хакерите
В програмирането се появи нов табиет, който бързо се трансформира в проблем за цялата промишленост. Така нареченият вайб кодинг – процедура, при която разработчиците основават софтуерни решения благодарение на генеративен изкуствен интелект, адаптирайки готовите фрагменти, вместо да ги пишат ръчно – става необятно публикуван. Този метод дава обещание да спести време и запаси, само че в подмяна основава нови закани за сигурността, които към този момент стартират да засягат действителните артикули и услуги.
Преди това програмистите ускоряваха създаването, като използваха библиотеки с отворен код и подготвени съставни елементи. Това им позволяваше да се концентрират върху логиката и интерфейсите, само че водеше до увеличение на уязвимостите, защото не всички библиотеки бяха вярно поддържани или тествани. С навлизането на AI генерирането обстановката се промени единствено външно – вместо да се импортира пакет от трета страна, в този момент е задоволително да се вкара поръчка и моделът ще сътвори блок от код за задачата. Вътрешният риск обаче остава същият: разработчикът получава резултата, само че не постоянно схваща от кое място са пристигнали низовете, върху които по-късно ще бъде построен неговият артикул.
Според Checkmarx до края на 2024 година към 60% от корпоративния код към този момент ще бъде основан благодарение на AI. В същото време единствено 18% от фирмите имат утвърден лист с принадлежности за сходна работа. Изследователите показват, че вследствие на това се размиват границите на отговорността: не излиза наяве кой е създателят на обещано решение, дали този код е бил одитиран и дали дава отговор на стандартите за сигурност. За разлика от складове като GitHub, където може да се проследят поправките, генерираните от невронната мрежа низове нямат история на произхода и авторството.
Проблемът се задълбочава от различен фактор – образованието на изкуствения разсъдък върху остарели или уязвими планове. Ако моделът усвои код с известни неточности, той възпроизвежда същите недостатъци в новите планове. Това основава циничен кръг, в който една и съща накърнимост минава от едно потомство логаритми към идващото. Освен това другите членове на екипа, употребявайки еднакъв модел, получават малко по-различни решения, което усложнява последващата инспекция и поддръжка на системите.
Експертите означиха, че непрозрачността и фрагментацията на кода на AI унищожава обичайните механизми за надзор, които съществуваха в екосистемата с отворен код. Там отговорността се разпределяше сред участниците, а кодът се обсъждаше и преглеждаше обществено. В случая с AI обаче тези филтри на процедура отсъстват: множеството от генерираните решения попадат в продукта без цялостно удостоверение. В резултат на това нараства вероятността от скрити неточности, които не могат да бъдат открити от общоприетите принадлежности за разбор.
Друг аспект на вайб кодинга е илюзията за досегаемост. За дребните предприятия и организациите с нестопанска цел, които не разполагат със средства за професионално развиване, генеративните принадлежности се трансформират в привлекателен метод за бързо приемане на нужното им приложение. Но лекотата на потребление се трансформира в опасност: тези артикули постоянно излизат онлайн с несигурни интерфейси, погрешно боравене с данните и липса на засвидетелствуване. И до момента в който една огромна компания може да е в положение да преживее последствията от един случай, уязвимостта в едно приложение за обществен план може да бъде пагубна.
Експертите по сигурността предизвестяват, че с края на „ гратисния интервал “ за AI въпросът за одитирането на кода ще стане толкоз настоящ, колкото беше за отворения код. Разработчиците би трябвало да вземат това поради още в този момент, като изградят процеси за одит и вкарат наложителна инспекция на резултатите от генерирането. В края на краищата всеки нов пласт автоматизация не отстранява отговорността на индивида – той единствено прибавя непредсказуемост.
