Искусственный интеллект ускоряет разработку, но вместе с этим усиливает риски безопасности. Компании все чаще используют сгенерированный код в продакшене, хотя сами разработчики признают, что он может содержать больше уязвимостей.
Искусственный интеллект ускоряет разработку, но вместе с этим усиливает риски безопасности. Компании все чаще используют сгенерированный код в продакшене, хотя сами разработчики признают, что он может содержать больше уязвимостей.
Компания в сфере кибербезопасности Checkmarx опросила 2350 специалистов из 14 стран: разработчиков, директоров по информационной безопасности и менеджеров, отвечающих за безопасность приложений. Опрос показал, что почти половина кода в продакшене (49%) уже создается с помощью ИИ. Еще 96% организаций встраивают ИИ-компоненты в свои приложения.
Согласно исследованию, 70% разработчиков считают, что ИИ-сгенерированный код содержит больше уязвимостей, чем написанный вручную. При этом компании часто сознательно идут на риск. По данным Checkmarx, 75% организаций признают, что выпускают в продакшен код с уже известными уязвимостями. 30% респондентов заявили, что отправляют такой код в надежде, что уязвимость не найдут.
Checkmarx связывает это с давлением сроков, сложностью исправления проблем и надеждой на дополнительные защитные механизмы.
Последствия уже заметны. 93% респондентов сообщили как минимум об одном инциденте безопасности за последний год из-за уязвимостей в собственных приложениях. При этом чем выше доля ИИ-кода, тем чаще компании выпускают уязвимый код. Организации, где 81–100% кода создается с помощью ИИ, делают это в 3,4 раза чаще, чем компании с долей ИИ-кода на уровне 1–20%.
Отдельная проблема — open source. По оценкам участников опроса, открытый код составляет около 59% кодовой базы приложений. Такой код часто попадает в приложение через сторонние библиотеки и зависимости — например, пакеты из npm или PyPI. В них могут быть как обычные уязвимости, так и вредоносный код.
Checkmarx отмечает, что инструменты для поиска уязвимостей существуют, но компании не всегда превращают найденные проблемы в реальные исправления. 99,6% разработчиков считают свои ИИ-инструменты безопасности в IDE эффективными, однако только 18% исправляют проблемы непрерывно по мере написания кода. Большинство применяет проверки лишь на отдельных этапах разработки.
Еще один тревожный показатель: только 9% организаций исправляют более 90% уязвимостей в течение 90 дней. В условиях, когда ИИ ускоряет как разработку, так и поиск уязвимостей, такой разрыв между обнаружением проблем и их исправлением становится все опаснее.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.