Штучны інтэлект паскарае распрацоўку, але разам з тым узмацняе рызыкі бяспекі. Кампаніі ўсё часцей выкарыстоўваюць згенераваны код у прадакшэне, хоць самыя распрацоўшчыкі прызнаюць, што ён можа ўтрымліваць больш уразлівасцяў.
Штучны інтэлект паскарае распрацоўку, але разам з тым узмацняе рызыкі бяспекі. Кампаніі ўсё часцей выкарыстоўваюць згенераваны код у прадакшэне, хоць самыя распрацоўшчыкі прызнаюць, што ён можа ўтрымліваць больш уразлівасцяў.
Кампанія ў сферы кібербяспекі Checkmarx апытала 2350 спецыялістаў з 14 краінаў: распрацоўшчыкаў, дырэктараў па інфармацыйнай бяспецы і менеджараў, адказных за бяспеку прыкладанняў. Апытанне паказала, што амаль палова кода ў прадакшэне (49%) ужо ствараецца з дапамогай ШІ. Яшчэ 96% арганізацыяў убудоўваюць ШІ-кампаненты ў свае прыкладанні.
Паводле даследавання, 70% распрацоўшчыкаў лічаць, што згенераваны ШІ код утрымлівае больш уразлівасцяў, чым напісаны ўручную. Пры гэтым кампаніі нярэдка свядома ідуць на рызыку. Паводле дадзеных Checkmarx, 75% арганізацый прызнаюць, што выпускаюць у прадакшэн код з ужо вядомымі ўразлівасцямі. 30% рэспандэнтаў заявілі, што адпраўляюць такі код у надзеі, што ўразлівасць не знойдуць.
Checkmarx звязвае гэта з ціскам тэрмінаў, складанасцю выпраўлення праблем і спадзяваннем на дадатковыя ахоўныя механізмы.
Наступствы ўжо адчувальныя. 93% рэспандэнтаў паведамілі як мінімум пра адзін інцыдэнт бяспекі за апошні год праз ўразлівасці ва ўласных прыкладаннях. Пры гэтым чым вышэй доля ШІ-кода, тым часцей кампаніі выпускаюць уразлівы код. Арганізацыі, дзе 81–100% кода ствараецца з дапамогай ШІ, робяць гэта ў 3,4 разы часцей, чым кампаніі з доляй ШІ-кода на ўзроўні 1–20%.
Асобная праблема — open source. Паводле ацэнак удзельнікаў апытання, адкрыты код складае каля 59% кодавай базы прыкладанняў. Такі код часта трапляе ў прыкладанне праз старонніяй бібліятэкі і залежнасці — напрыклад, пакеты з npm або PyPI. У іх могуць быць як звычайныя ўразлівасці, так і шкодны код.
Checkmarx адзначае, што інструменты для пошуку ўразлівасцяў існуюць, але кампаніі не заўсёды ператвараюць знойдзеныя праблемы ў рэальныя выпраўленні. 99,6% распрацоўшчыкаў лічаць свае ШІ-інструменты бяспекі ў IDE эфектыўнымі, аднак толькі 18% выпраўляюць праблемы бесперапынна па меры напісання кода. Большасць прымяняе праверкі толькі на асобных этапах распрацоўкі.
Яшчэ адзін трывожны паказчык: толькі 9% арганізацый выпраўляюць больш за 90% уразлівасцяў на працягу 90 дзён. Ва ўмовах, калі ШІ паскарае як распрацоўку, так і пошук уразлівасцяў, такі разрыў паміж выяўленнем праблем і іх выпраўленнем становіцца ўсё больш небяспечным.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.