Бомба замедленного действия: кодеры с ИИ-ассистентами создают в 10 раз больше уязвимостей
ИИ-помощники буквально помогают программистам «двигаться быстро и ломать вещи» — вернее, с повышенной продуктивностью генерить проблемы безопасности. Израильская ИБ-компания Apiiro проанализировала десятки тысяч репозиториев с кодом, который написан несколькими тысячами разработчиков, связанных с компаниями из списка Fortune 50. Исследователи хотели понять, как ИИ-инструменты вроде Claude Code, GPT-5 и Gemini 2.5 Pro влияют на качество кода.
ИИ-помощники буквально помогают программистам «двигаться быстро и ломать вещи» — вернее, с повышенной продуктивностью генерить проблемы безопасности. Израильская ИБ-компания Apiiro проанализировала десятки тысяч репозиториев с кодом, который написан несколькими тысячами разработчиков, связанных с компаниями из списка Fortune 50. Исследователи хотели понять, как ИИ-инструменты вроде Claude Code, GPT-5 и Gemini 2.5 Pro влияют на качество кода.
Оказалось, что разработчики, которые пользуются ассистентами, выдают в 3-4 раза больше кода, чем их самостоятельные коллеги. И создают в 10 раз больше проблем безопасности. Под таковыми исследователи подразумевают не уязвимости, которые можно эксплуатировать, а более широкий круг рисков, таких как новые зависимости от стороннего опенсорсного кода, небезопасные шаблоны программирования, случайно оставленные в коде секреты и ошибки в настройках облака.
Как подсчитали в Apiiro к июню, в сгенерированном коде появлялось более 10 тысяч новых проблем безопасности в месяц — в 10 раз больше по сравнению с прошлым декабрём. Там отмечают, что ИИ плодит не какой-то один вид уязвимостей, а все возможные сразу, и призывают руководство компаний, в которых кодеры пользуются ИИ, уделять повышенное внимание безопасности кода.
С другой стороны, ИИ-ассистенты сократили количество синтаксических и логических ошибок в коде на 76% и 60% соответственно. Между тем в ИИ-коде на 322% чаще встречаются ошибки, чреватые уязвимостями, ведущими к повышению привилегий, и на 153% чаще — архитектурные изъяны. «Иными словами, ИИ исправляет опечатки в коде, но закладывает бомбы замедленного действия», — отмечают исследователи.
С++, несмотря на свой солидный возраст, остается одним из основных языков программирования, который применется очень широко: от разработки ПО до создания игр. В сети много ресурсов, которые помогут освоить этот язык. Советуем обратить внимаение на подборку команды Digitaldefynd, котрую мы дополнили. В ней как платные, так и бесплатные ресурсы для людей с разным уровнем подготовки и знаний С++.
Только сегодня при покупке NordVPN c тарифным планом на 2 года или год вы экономите до 68% и получаете возможность блокировать вредоносные ПО, трекеры, защищать вашу личную информацию от различных веб-сайтов.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.