Martin Mareček 
Stejně jako ty Pravděpodobně neroste a neručí pšenici, aby vytvořili mouku pro váš chléb, většina vývojářů softwaru nepíše každý řádek kódu do nového projektu od nuly. To by bylo extrémně pomalé a mohlo by vytvořit více bezpečnostních problémů, než to řeší. Vývojáři tedy čerpají z existujících knihoven – často projektů s otevřeným zdrojovým kódem – za účelem zavedení různých základních softwarových komponent.
I když je tento přístup efektivní, může vytvářet expozici a nedostatek viditelnosti softwaru. Stále častěji se však vzestup kódování vibrací používá podobným způsobem, což vývojářům umožňuje rychle roztočit kód, který se mohou jednoduše přizpůsobit spíše než psát od nuly. Výzkumníci zabezpečení však varují, že tento nový žánr kódu plug-and-play dělá zabezpečení softwaru na dodavatel řetězec ještě komplikovanější-a nebezpečí.
„Právě teď zasáhneme bod, kdy se AI chystá ztratit své odklady na bezpečnost,“ říká Alex Zenla, hlavní technologický ředitel cloudové bezpečnostní firmy Edera. „A AI je jeho vlastní nejhorší nepřítel, pokud jde o generování kódu, který je nejistý. Pokud je AI trénována částečně starým, zranitelným nebo nekvalitním softwarem, který je tam dostupný, pak se mohou znovu zavést všechny zranitelnosti a být znovu zavedena, nezmínit nové problémy.“
Kromě nasávání potenciálně nejistých údajů o školení je realita kódování vibrací, že vytváří hrubý návrh kódu, který nemusí plně zohlednit všechny konkrétní kontext a úvahy kolem daného produktu nebo služby. Jinými slovy, i když společnost trénuje místní model na zdrojovém kódu projektu a popis cílů přirozeného jazyka, výrobní proces se stále spoléhá na schopnost lidských recenzentů spatřit jakoukoli možnou vadu nebo nesoulad v kódu původně generovaném AI.
„Inženýrské skupiny musí přemýšlet o životním cyklu rozvoje v době kódování vibrací,“ říká Eran Kinsbruner, výzkumný pracovník v bezpečnostní firmě Application Congentmarx. „Pokud požádáte přesně stejný model LLM, aby psal pro váš konkrétní zdrojový kód, bude mít pokaždé, když bude mít trochu odlišný výstup. Jeden vývojář v týmu vygeneruje jeden výstup a druhý vývojář získá jiný výstup. Takže zavede další komplikace nad rámec otevřeného zdroje.“
V průzkumu Checkmarx s hlavními úředníky pro bezpečnost informací, správců bezpečnosti aplikací a vedoucím rozvoje uvedla, že více než 60 procent kódu jejich organizace byla generována AI v roce 2024. Pouze 18 procent respondentů však uvedlo, že jejich organizace má seznam schválených nástrojů pro vibrace kódování. Checkmarx oslovil tisíce odborníků a zveřejnil zjištění v srpnu – také zdůraznil, že vývoj AI ztěžuje sledování „vlastnictví“ kódu.
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
