Распрацоўшчыкі губляюць кантроль над кодам, створаным ШІ — меркаванне экспертаў

Як і ў выпадку з адкрытым зыходным кодам, выкарыстанне фрагментаў, створаных ШІ, эканоміць час, але стварае нябачную зону рызыкі. Алгарытмы, навучаныя на старым і ўразлівым праграмным забеспячэнні, здольныя паўторна ўкараняць памылкі і ўразлівасці, даўно вядомыя індустрыі.

«ШІ сам сабе вораг, — кажа Алекс Зэнла, тэхнічны дырэктар воблачнай кампаніі Edera. — Ён узнаўляе тыя ж уразлівасці, на якіх быў навучаны, і стварае новыя».

Даследчыкі кампаніі Checkmarx адзначаюць, што вайб-кодынг ускладняе кантроль якасці: адна і тая ж LLM-мадэль можа генераваць розныя варыянты кода для адной задачы, што робіць канчатковы прадукт менш прадказальным і цяжэй падлеглым праверцы.

У іх апытанні траціна кіраўнікоў у сферы кібербяспекі прызнала, што ў 2024 годзе больш за 60% карпаратыўнага кода ўжо стваралася ШІ, але толькі 18% кампаній мелі зацверджаны спіс дазволеных інструментаў.

Галоўная праблема, на думку экспертаў, — знікненне празрыстасці і адказнасці, якія існавалі ў open source. «У GitHub вы бачыце каміты, абмеркаванні, можаце адсачыць аўтара. У вайб-кодынгу нічога гэтага няма — код проста з’яўляецца», — кажа Дэн Фернандэс, кіраўнік напрамку ШІ ў Edera. Гэта значна ўскладняе аўдыт і адсочванне крыніцы патэнцыйных уразлівасцяў.

Акрамя карпаратыўных рызык, спецыялісты папярэджваюць, што найбольшы ўдар можа прыйсціся па малых бізнесах і ўразлівых супольнасцях, якія выкарыстоўваюць ШІ-інструменты з-за іх таннасці і прастаты. «Для іх гэта спосаб хутка стварыць прадукт, але і шлях да катастрафічных уцечак даных», — адзначае Зэнла.

Па словах былога хакера Агенцтва нацыянальнай бяспекі ЗША Джэйка Уільямса, сёння ШІ-код ужо актыўна ўкараняецца ў карпаратыўныя прадукты — і галіне наканавана альбо вынесці ўрокі з памылак, альбо паўтарыць іх з яшчэ большымі наступствамі. «Калі мы не навучымся кіраваць бяспекай ШІ-кода, — кажа ён, — усё проста абрынецца. І гэта будзе балюча».