Бомба запаволенага дзеяння: кодэры з ШІ-асістэнтамі ствараюць у 10 разоў больш уразлівасцей
ШІ-асістэнты літаральна дапамагаюць праграмістам «рухацца хутка і ламаць рэчы» — дакладней, з павышанай прадуктыўнасцю генераваць праблемы бяспекі. Ізраільская ІБ-кампанія Apiiro прааналізавала дзясяткі тысяч рэпазіторыяў з кодам, які напісаны некалькімі тысячамі распрацоўшчыкаў, звязаных з кампаніямі са спіса Fortune 50. Даследчыкі хацелі зразумець, як ШІ-інструменты накшталт Claude Code, GPT-5 і Gemini 2.5 Pro ўплываюць на якасць кода.
Высветлілася, што распрацоўшчыкі, якія карыстаюцца асістэнтамі, выдаюць у 3-4 разы больш кода, чым іх самастойныя калегі. І ствараюць у 10 разоў больш праблем бяспекі. Пад такімі даследчыкі маюць на ўвазе не ўразлівасці, якія можна эксплуатаваць, а больш шырокі круг рызык, такіх як новыя залежнасці ад старонняга опенсорснага кода, небяспечныя шаблоны праграмавання, выпадкова пакінутыя ў кодзе сакрэты і памылкі ў наладах воблака.
Як падлічылі ў Apiiro да чэрвеня, у згенераваным кодзе з’яўлялася больш за 10 тысяч новых праблем бяспекі ў месяц — у 10 разоў больш у параўнанні з мінулым снежнем. Там адзначаюць, што ШІ пладзіць не нейкі адзін від уразлівасцяў, а ўсе магчымыя адразу, і заклікаюць кіраўніцтва кампаній, у якіх кодэры карыстаюцца ШІ, надаваць павышаную ўвагу бяспецы кода.
З іншага боку, ШІ-асістэнты скарацілі колькасць сінтаксічных і лагічных памылак у кодзе на 76% і 60% адпаведна. Між тым у ШІ-кодзе на 322% часцей сустракаюцца памылкі, якія пагражаюць уразлівасцямі, што вядуць да павышэння прывілеяў, і на 153% часцей — архітэктурныя дэфекты. «Іншымі словамі, ШІ выпраўляе апіскі ў кодзе, але закладвае бомбы запаволенага дзеяння», — адзначаюць даследчыкі.
Читать на dev.by