Yapay zeka modellerinin bir geliştiricinin istemine göre kod oluşturmasına izin vererek, vibe kodlama dönemindeyiz. Ne yazık ki, kaputun altında, titreşimler kötü. Yakın tarihli bir rapora göre Veri güvenlik firması Veracode tarafından yayınlanan tüm AI tarafından üretilen kodun yaklaşık yarısı güvenlik kusurları içerir.
Veracode, farklı kodlama dillerini kullanmaktan farklı uygulama türleri oluşturmaya kadar 80 ayrı kodlama görevini tamamlayarak 100’den fazla farklı büyük dil modelini görevlendirdi. Rapora göre, her görev potansiyel güvenlik açıklarını biliyordu, yani modeller her zorluğu potansiyel olarak güvenli veya güvensiz bir şekilde tamamlayabilir. Güvenlik en büyük önceliğinizse, sonuçlar tam olarak ilham verici değildi, görevlerin sadece% 55’i sonuçta “güvenli” kod üretti.
Şimdi, bu güvenlik açıkları kolayca yamalanabilecek veya hafifletilebilen küçük kusurlar olsaydı bir şey olurdu. Ama genellikle oldukça büyük delikler. Güvenlik kontrolünde başarısız olan kodun% 45’i, Dünya Çapında Açık Güvenlik Projesi’nin En İyi 10 Güvenlik açıkları – Kırık Erişim Kontrolü, Kriptografik Arızalar ve Veri Bütünlük Arızaları gibi görevler. Temel olarak, çıktı, hacklemek istemediğiniz sürece, sadece döndürmek ve canlı olarak itmek istemeyeceğiniz yeterince büyük sorunlara sahiptir.
Belki de çalışmanın en ilginç bulgusu, sadece AI modellerinin düzenli olarak güvensiz kod üretmesi değildir. Modeller daha iyi hale gelmiyor gibi görünüyor. Sözdizimi son iki yılda önemli ölçüde iyileşmiş olsa da, LLMS neredeyse her zaman derlenebilir kod üretirken, söz konusu kodun güvenliği temelde her zaman düz kaldı. Daha yeni ve daha büyük modeller bile önemli ölçüde daha güvenli kod üretemiyor.
Yapay zeka tarafından üretilen kod için güvenli çıkış taban çizgisinin iyileştirilmemesi bir sorundur, çünkü programlamada yapay zekanın kullanımı Daha Popüler Olmakve saldırı için yüzey alanı artıyor. Bu ayın başlarında, 404 Medya bir hacker’ın Amazon’un AI kodlama aracısının, kullanıldığı bilgisayarların dosyalarını, araç için GitHub deposuna gizli talimatlarla kötü amaçlı talimatlar enjekte ederek nasıl sildiğini bildirdi.
Bu arada, AI ajanları daha yaygın hale geldikçe, Aynı kodu kırabilen aracılar. Son araştırma Kaliforniya Üniversitesi’nden Berkeley, AI modellerinin koddaki sömürülebilir hataları belirlemede çok iyi hale geldiğini buldu. Bu nedenle AI modelleri sürekli olarak güvensiz kod üretiyor ve diğer AI modelleri bu güvenlik açıklarını tespit etmek ve bunları sömürmek için gerçekten iyi oluyor. Muhtemelen hepsi iyi.
