VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:
|
AI-ассистенты не способны оценивать семантику и безопасность кода.
Специалисты по безопасности из компании Snyk провели исследование, которое показало, что инструмент для автоматического написания кода GitHub Copilot способен генерировать код с уязвимостями, если в исходном проекте уже присутствуют подобные проблемы. Это происходит потому, что алгоритмы Copilot просто анализируют имеющуюся кодовую базу, но не понимает, как она работает.
В ходе эксперимента, команда Snyk попросила Copilot сгенерировать SQL-запрос. Первый запрос, сгенерированный помощником, оказался качественным и безопасным, с использованием именованных параметров, что исключает риск использования инъекций:
// create query to match input with the description or product name var query = em.createQuery(“SELECT p FROM Product p WHERE LOWER(p.description) like OR lower(p.productName) like :input”, Product.class);
Забудь про блокировки! VPN через Телеграмм-бот для России!
|
Затем исследователи в соседнем файле проекта самостоятельно написали уязвимый SQL-запрос и снова попросили нейросеть написать код. Во второй раз помощник предложил код, повышающий риск уязвимости:
// create query to match input with the description or product name String query = “Select * from Product where lower(description) like ‘%” + lowerInput + “%’ OR lower(product_name) like ‘%” + lowerInput + “%'”;
Используя уязвимый код в качестве контекста, Copilot не только воспроизвел существующую проблему, но и потенциально удвоил количество уязвимостей в проекте. Исследователи подчеркивают, что, если проектом занимаются неопытные разработчики, риск множественных уязвимостей возрастает экспоненциально.
В Snyk отмечают следующие факторы, усугубляющие использование GitHub Copilot:
- Закрепление плохого подхода. Новички, полагающиеся на ИИ-помощники, могут не осознавать свои ошибки, предполагая, что сгенерированный искусственным интеллектом код автоматически является безопасным.
- Недостаток проверок. ИИ-помощники не способны анализировать безопасность своих предложений, в то время как разработчики зачастую пропускают этот этап, увеличивая тем самым риск внедрения уязвимостей в проект.
- Применение устаревших паттернов. GitHub Copilot может предложить фрагменты, которые уже не считаются надежными в профессиональном сообществе, содержащие уязвимости и ошибки.
- Игнорирование проблем безопасности: Copilot фокусируется на генерации кода, а не на оценке безопасности. Разработчики могут быть больше озабочены функциональностью, чем безопасностью, непреднамеренно упуская из виду уязвимости.
Для решения проблемы специалисты рекомендуют сочетать генерацию кода ИИ с традиционными методами обеспечения безопасности, такими как анализ кода и обучение разработчиков. Это позволит найти баланс между инновациями и надежностью кода.
Искусственный интеллект уже умнее вас. Как не стать рабом машин?
Узнайте у нас!
Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.
Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.
