Бомба запаволенага дзеяння: кодэры з ШІ-асістэнтамі ствараюць у 10 разоў больш уразлівасцей
ШІ-асістэнты літаральна дапамагаюць праграмістам «рухацца хутка і ламаць рэчы» — дакладней, з павышанай прадуктыўнасцю генераваць праблемы бяспекі. Ізраільская ІБ-кампанія Apiiro прааналізавала дзясяткі тысяч рэпазіторыяў з кодам, які напісаны некалькімі тысячамі распрацоўшчыкаў, звязаных з кампаніямі са спіса Fortune 50. Даследчыкі хацелі зразумець, як ШІ-інструменты накшталт Claude Code, GPT-5 і Gemini 2.5 Pro ўплываюць на якасць кода.
ШІ-асістэнты літаральна дапамагаюць праграмістам «рухацца хутка і ламаць рэчы» — дакладней, з павышанай прадуктыўнасцю генераваць праблемы бяспекі. Ізраільская ІБ-кампанія Apiiro прааналізавала дзясяткі тысяч рэпазіторыяў з кодам, які напісаны некалькімі тысячамі распрацоўшчыкаў, звязаных з кампаніямі са спіса Fortune 50. Даследчыкі хацелі зразумець, як ШІ-інструменты накшталт Claude Code, GPT-5 і Gemini 2.5 Pro ўплываюць на якасць кода.
Высветлілася, што распрацоўшчыкі, якія карыстаюцца асістэнтамі, выдаюць у 3-4 разы больш кода, чым іх самастойныя калегі. І ствараюць у 10 разоў больш праблем бяспекі. Пад такімі даследчыкі маюць на ўвазе не ўразлівасці, якія можна эксплуатаваць, а больш шырокі круг рызык, такіх як новыя залежнасці ад старонняга опенсорснага кода, небяспечныя шаблоны праграмавання, выпадкова пакінутыя ў кодзе сакрэты і памылкі ў наладах воблака.
Як падлічылі ў Apiiro да чэрвеня, у згенераваным кодзе з’яўлялася больш за 10 тысяч новых праблем бяспекі ў месяц — у 10 разоў больш у параўнанні з мінулым снежнем. Там адзначаюць, што ШІ пладзіць не нейкі адзін від уразлівасцяў, а ўсе магчымыя адразу, і заклікаюць кіраўніцтва кампаній, у якіх кодэры карыстаюцца ШІ, надаваць павышаную ўвагу бяспецы кода.
З іншага боку, ШІ-асістэнты скарацілі колькасць сінтаксічных і лагічных памылак у кодзе на 76% і 60% адпаведна. Між тым у ШІ-кодзе на 322% часцей сустракаюцца памылкі, якія пагражаюць уразлівасцямі, што вядуць да павышэння прывілеяў, і на 153% часцей — архітэктурныя дэфекты. «Іншымі словамі, ШІ выпраўляе апіскі ў кодзе, але закладвае бомбы запаволенага дзеяння», — адзначаюць даследчыкі.
С++, несмотря на свой солидный возраст, продолжает оставаться одним из самых популярных языков программирования с широкой сферой применения: от разработки ПО до создания игр. В сети можно найти достаточно ресурсов, которые помогут освоить этот язык. Мы предлагаем обратить внимание на подборку, подготовленную Digitaldefynd и дополненную нами. В ней собраны как бесплатные, так и платные ресурсы для людей с разным уровнем подготовки и знаний С++.
Акция от NordVPN: подписка на два года за $3.29 в месяц
При покупке NordVPN c тарифным планом на 2 года вы экономите 60% и получаете возможность блокировать вредоносные ПО, трекеры, защищать вашу личную информацию от различных веб-сайтов.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.