Дапамажыце dev.by 🤍
Падтрымаць

Бомба запаволенага дзеяння: кодэры з ШІ-асістэнтамі ствараюць у 10 разоў больш уразлівасцей

ШІ-асістэнты літаральна дапамагаюць праграмістам «рухацца хутка і ламаць рэчы» — дакладней, з павышанай прадуктыўнасцю генераваць праблемы бяспекі. Ізраільская ІБ-кампанія Apiiro прааналізавала дзясяткі тысяч рэпазіторыяў з кодам, які напісаны некалькімі тысячамі распрацоўшчыкаў, звязаных з кампаніямі са спіса Fortune 50. Даследчыкі хацелі зразумець, як ШІ-інструменты накшталт Claude Code, GPT-5 і Gemini 2.5 Pro ўплываюць на якасць кода.

Пакінуць каментарый
Бомба запаволенага дзеяння: кодэры з ШІ-асістэнтамі ствараюць у 10 разоў больш уразлівасцей

ШІ-асістэнты літаральна дапамагаюць праграмістам «рухацца хутка і ламаць рэчы» — дакладней, з павышанай прадуктыўнасцю генераваць праблемы бяспекі. Ізраільская ІБ-кампанія Apiiro прааналізавала дзясяткі тысяч рэпазіторыяў з кодам, які напісаны некалькімі тысячамі распрацоўшчыкаў, звязаных з кампаніямі са спіса Fortune 50. Даследчыкі хацелі зразумець, як ШІ-інструменты накшталт Claude Code, GPT-5 і Gemini 2.5 Pro ўплываюць на якасць кода.

Высветлілася, што распрацоўшчыкі, якія карыстаюцца асістэнтамі, выдаюць у 3-4 разы больш кода, чым іх самастойныя калегі. І ствараюць у 10 разоў больш праблем бяспекі. Пад такімі даследчыкі маюць на ўвазе не ўразлівасці, якія можна эксплуатаваць, а больш шырокі круг рызык, такіх як новыя залежнасці ад старонняга опенсорснага кода, небяспечныя шаблоны праграмавання, выпадкова пакінутыя ў кодзе сакрэты і памылкі ў наладах воблака.

Як падлічылі ў Apiiro да чэрвеня, у згенераваным кодзе з’яўлялася больш за 10 тысяч новых праблем бяспекі ў месяц — у 10 разоў больш у параўнанні з мінулым снежнем. Там адзначаюць, што ШІ пладзіць не нейкі адзін від уразлівасцяў, а ўсе магчымыя адразу, і заклікаюць кіраўніцтва кампаній, у якіх кодэры карыстаюцца ШІ, надаваць павышаную ўвагу бяспецы кода.

З іншага боку, ШІ-асістэнты скарацілі колькасць сінтаксічных і лагічных памылак у кодзе на 76% і 60% адпаведна. Між тым у ШІ-кодзе на 322% часцей сустракаюцца памылкі, якія пагражаюць уразлівасцямі, што вядуць да павышэння прывілеяў, і на 153% часцей — архітэктурныя дэфекты. «Іншымі словамі, ШІ выпраўляе апіскі ў кодзе, але закладвае бомбы запаволенага дзеяння», — адзначаюць даследчыкі.

Цяпер яшчэ і «вайб-хакінг»: Anthropic распавяла як ШІ-агенты сталі кіберзброяй
Цяпер яшчэ і «вайб-хакінг»: Anthropic распавяла, як ШІ-агенты сталі кіберзброяй
Па тэме
Цяпер яшчэ і «вайб-хакінг»: Anthropic распавяла, як ШІ-агенты сталі кіберзброяй
У распрацоўшчыкаў вайбкодынгавых інструментаў праблема: яны вельмі стратныя
У распрацоўшчыкаў вайбкодынгавых інструментаў праблема: яны вельмі стратныя
Па тэме
У распрацоўшчыкаў вайбкодынгавых інструментаў праблема: яны вельмі стратныя
Чытайце таксама
13 курсов по программированию на C++
13 курсов по программированию на C++
13 курсов по программированию на C++
С++, несмотря на свой солидный возраст, продолжает оставаться одним из самых популярных языков программирования с широкой сферой применения: от разработки ПО до создания игр. В сети можно найти достаточно ресурсов, которые помогут освоить этот язык. Мы предлагаем обратить внимание на подборку, подготовленную Digitaldefynd и дополненную нами. В ней собраны как бесплатные, так и платные ресурсы для людей с разным уровнем подготовки и знаний С++.
1 каментарый
12 VPN-сервисов, которые помогут обходить блокировки
12 VPN-сервисов, которые помогут обходить блокировки
12 VPN-сервисов, которые помогут обходить блокировки
Сделали обзор VPN-сервисов, которые лидируют в рейтингах, и сделают вашу работу в интернете быстрой и безопасной.
8 каментарыяў
Акция от NordVPN: подписка на два года за $3.29 в месяц
Акция от NordVPN: подписка на два года за $3.29 в месяц
Акция от NordVPN: подписка на два года за $3.29 в месяц
При покупке NordVPN c тарифным планом на 2 года вы экономите 60% и получаете возможность блокировать вредоносные ПО, трекеры, защищать вашу личную информацию от различных веб-сайтов. 
7 каментарыяў
DataCamp открывает безлимитный доступ к курсам за $139 в год
DataCamp открывает безлимитный доступ к курсам за $139 в год
DataCamp открывает безлимитный доступ к курсам за $139 в год

Хочаце паведаміць важную навіну? Пішыце ў Telegram-бот

Галоўныя падзеі і карысныя спасылкі ў нашым Telegram-канале

Абмеркаванне
Каментуйце без абмежаванняў

Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.

Каментарыяў пакуль няма.