Бомба замедленного действия: кодеры с ИИ-ассистентами создают в 10 раз больше уязвимостей
ИИ-помощники буквально помогают программистам «двигаться быстро и ломать вещи» — вернее, с повышенной продуктивностью генерить проблемы безопасности. Израильская ИБ-компания Apiiro проанализировала десятки тысяч репозиториев с кодом, который написан несколькими тысячами разработчиков, связанных с компаниями из списка Fortune 50. Исследователи хотели понять, как ИИ-инструменты вроде Claude Code, GPT-5 и Gemini 2.5 Pro влияют на качество кода.
Оказалось, что разработчики, которые пользуются ассистентами, выдают в 3-4 раза больше кода, чем их самостоятельные коллеги. И создают в 10 раз больше проблем безопасности. Под таковыми исследователи подразумевают не уязвимости, которые можно эксплуатировать, а более широкий круг рисков, таких как новые зависимости от стороннего опенсорсного кода, небезопасные шаблоны программирования, случайно оставленные в коде секреты и ошибки в настройках облака.
Как подсчитали в Apiiro к июню, в сгенерированном коде появлялось более 10 тысяч новых проблем безопасности в месяц — в 10 раз больше по сравнению с прошлым декабрём. Там отмечают, что ИИ плодит не какой-то один вид уязвимостей, а все возможные сразу, и призывают руководство компаний, в которых кодеры пользуются ИИ, уделять повышенное внимание безопасности кода.
С другой стороны, ИИ-ассистенты сократили количество синтаксических и логических ошибок в коде на 76% и 60% соответственно. Между тем в ИИ-коде на 322% чаще встречаются ошибки, чреватые уязвимостями, ведущими к повышению привилегий, и на 153% чаще — архитектурные изъяны. «Иными словами, ИИ исправляет опечатки в коде, но закладывает бомбы замедленного действия», — отмечают исследователи.
Читать на dev.by