Штучний інтелект здатен швидко згенерувати фрагменти коду, але часто нехтує правилами безпечної розробки. У 45% випадків у таких відповідях експерти виявили критичні вразливості.
Штучний інтелект здатен швидко згенерувати фрагменти коду, але часто нехтує правилами безпечної розробки. У 45% випадків у таких відповідях експерти виявили критичні вразливості.
Моделі на кшталт OpenAI Codex, GPT-3.5 та GPT-4 створюють потенційно небезпечний код у майже половині випадків. Про це повідомляє DOU із посиланням на звіт Veracode. Компанія проаналізувала понад 1600 прикладів коду, які ШІ написав у відповідь на 12 прикладних завдань.
У середньому 45% зразків мали серйозні вразливості: SQL-інʼєкції, XSS-атаки, помилки з валідацією введення та недоліки авторизації. Найгірші результати були у коді на Java, проблеми виявили у 80% прикладів. У Python і JavaScript рівень вразливостей був значно нижчим, приблизно 30–40%.
Veracode пояснює це тим, що моделі намагаються надати синтаксично правильну відповідь, орієнтуючись на частотність у навчальних даних, а не на безпеку. У результаті ШІ пропонує код, що зовні виглядає логічним, але містить критичні діри.
Однак якщо в запиті прямо зазначити вимогу зосередитися на безпечних практиках, якість відповідей значно зростає.
Рекомендації Veracode для розробників
Це американська компанія, що спеціалізується на автоматизованих системах перевірки коду. Її звіти часто використовують в індустрії для формування політик безпечної розробки, особливо в умовах активного впровадження AI-асистентів у програмуванні.
Раніше ми писали про те, як за даними досліджень, кожне третє посилання, яке генерують мовні моделі на кшталт GPT‑4.1, не належить бренду, про який іде мова. Частина таких адрес виявляється небезпечними, що відкриває шлях для фішингових атак і поширення шкідливого коду.
