- 13,858
- 20
- 8 Ноя 2022
AI-ассистенты не способны оценивать семантику и безопасность кода.
Специалисты по безопасности из компании Snyk Для просмотра ссылки Войдиили Зарегистрируйся исследование, которое показало, что инструмент для автоматического написания кода GitHub Copilot способен генерировать код с уязвимостями, если в исходном проекте уже присутствуют подобные проблемы. Это происходит потому, что алгоритмы Copilot просто анализируют имеющуюся кодовую базу, но не понимает, как она работает.
В ходе эксперимента, команда Snyk попросила Copilot сгенерировать SQL-запрос. Первый запрос, сгенерированный помощником, оказался качественным и безопасным, с использованием именованных параметров, что исключает риск использования инъекций:
<pre>// create query to match input with the description or product name var query = em.createQuery("SELECT p FROM Product p WHERE LOWER(p.description) like OR lower(p.productName) like :input", Product.class); </pre> Затем исследователи в соседнем файле проекта самостоятельно написали уязвимый SQL-запрос и снова попросили нейросеть написать код. Во второй раз помощник предложил код, повышающий риск уязвимости:
<pre>// create query to match input with the description or product name String query = "Select * from Product where lower(description) like '%" + lowerInput + "%' OR lower(product_name) like '%" + lowerInput + "%'"; </pre> Используя уязвимый код в качестве контекста, Copilot не только воспроизвел существующую проблему, но и потенциально удвоил количество уязвимостей в проекте. Исследователи подчеркивают, что, если проектом занимаются неопытные разработчики, риск множественных уязвимостей возрастает экспоненциально.
В Snyk отмечают следующие факторы, усугубляющие использование GitHub Copilot:
Специалисты по безопасности из компании Snyk Для просмотра ссылки Войди
В ходе эксперимента, команда Snyk попросила Copilot сгенерировать SQL-запрос. Первый запрос, сгенерированный помощником, оказался качественным и безопасным, с использованием именованных параметров, что исключает риск использования инъекций:
<pre>// create query to match input with the description or product name var query = em.createQuery("SELECT p FROM Product p WHERE LOWER(p.description) like OR lower(p.productName) like :input", Product.class); </pre> Затем исследователи в соседнем файле проекта самостоятельно написали уязвимый SQL-запрос и снова попросили нейросеть написать код. Во второй раз помощник предложил код, повышающий риск уязвимости:
<pre>// create query to match input with the description or product name String query = "Select * from Product where lower(description) like '%" + lowerInput + "%' OR lower(product_name) like '%" + lowerInput + "%'"; </pre> Используя уязвимый код в качестве контекста, Copilot не только воспроизвел существующую проблему, но и потенциально удвоил количество уязвимостей в проекте. Исследователи подчеркивают, что, если проектом занимаются неопытные разработчики, риск множественных уязвимостей возрастает экспоненциально.
В Snyk отмечают следующие факторы, усугубляющие использование GitHub Copilot:
- Закрепление плохого подхода. Новички, полагающиеся на ИИ-помощники, могут не осознавать свои ошибки, предполагая, что сгенерированный искусственным интеллектом код автоматически является безопасным.
- Недостаток проверок. ИИ-помощники не способны анализировать безопасность своих предложений, в то время как разработчики зачастую пропускают этот этап, увеличивая тем самым риск внедрения уязвимостей в проект.
- Применение устаревших паттернов. GitHub Copilot может предложить фрагменты, которые уже не считаются надежными в профессиональном сообществе, содержащие уязвимости и ошибки.
- Игнорирование проблем безопасности: Copilot фокусируется на генерации кода, а не на оценке безопасности. Разработчики могут быть больше озабочены функциональностью, чем безопасностью, непреднамеренно упуская из виду уязвимости.
- Источник новости
- www.securitylab.ru
