Новости Snyk: ИИ-помощник GitHub Copilot может тиражировать ошибки в коде

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
AI-ассистенты не способны оценивать семантику и безопасность кода.


83hkssuztgq7v7rewqabjc5i9vd5q6da.jpg


Специалисты по безопасности из компании Snyk Для просмотра ссылки Войди или Зарегистрируйся исследование, которое показало, что инструмент для автоматического написания кода GitHub Copilot способен генерировать код с уязвимостями, если в исходном проекте уже присутствуют подобные проблемы. Это происходит потому, что алгоритмы Copilot просто анализируют имеющуюся кодовую базу, но не понимает, как она работает.

В ходе эксперимента, команда Snyk попросила Copilot сгенерировать SQL-запрос. Первый запрос, сгенерированный помощником, оказался качественным и безопасным, с использованием именованных параметров, что исключает риск использования инъекций:

<pre>// create query to match input with the description or product name var query = em.createQuery("SELECT p FROM Product p WHERE LOWER(p.description) like OR lower(p.productName) like :input", Product.class); </pre> Затем исследователи в соседнем файле проекта самостоятельно написали уязвимый SQL-запрос и снова попросили нейросеть написать код. Во второй раз помощник предложил код, повышающий риск уязвимости:

<pre>// create query to match input with the description or product name String query = "Select * from Product where lower(description) like '%" + lowerInput + "%' OR lower(product_name) like '%" + lowerInput + "%'"; </pre> Используя уязвимый код в качестве контекста, Copilot не только воспроизвел существующую проблему, но и потенциально удвоил количество уязвимостей в проекте. Исследователи подчеркивают, что, если проектом занимаются неопытные разработчики, риск множественных уязвимостей возрастает экспоненциально.

В Snyk отмечают следующие факторы, усугубляющие использование GitHub Copilot:

  • Закрепление плохого подхода. Новички, полагающиеся на ИИ-помощники, могут не осознавать свои ошибки, предполагая, что сгенерированный искусственным интеллектом код автоматически является безопасным.
  • Недостаток проверок. ИИ-помощники не способны анализировать безопасность своих предложений, в то время как разработчики зачастую пропускают этот этап, увеличивая тем самым риск внедрения уязвимостей в проект.
  • Применение устаревших паттернов. GitHub Copilot может предложить фрагменты, которые уже не считаются надежными в профессиональном сообществе, содержащие уязвимости и ошибки.
  • Игнорирование проблем безопасности: Copilot фокусируется на генерации кода, а не на оценке безопасности. Разработчики могут быть больше озабочены функциональностью, чем безопасностью, непреднамеренно упуская из виду уязвимости.
Для решения проблемы специалисты рекомендуют сочетать генерацию кода ИИ с традиционными методами обеспечения безопасности, такими как анализ кода и обучение разработчиков. Это позволит найти баланс между инновациями и надежностью кода.
 
Источник новости
www.securitylab.ru

vivieneLOXX

Участник
3
2
28 Фев 2024
<pre>// create query to match input with the description or product name String query = "Select а за что оно отвечает?
 

Похожие темы