Уязвимый вайб-кодинг: почти половина кода, написанного ИИ, потенциально опасна

Исследование выявило существенный уровень уязвимости продуктов вайб-кодинга. С некоторыми языками программирования результат намного хуже среднего.

Отчет компании Veracode охватывает более 1600 образцов кода, созданных GPT-4, GPT-3.5 и Codex от OpenAI, которые получили 12 различных заданий. В общей сложности 45% результатов содержали существенные уязвимости. Среди них ошибки авторизации, валидации ввода, SQL-инъекции и т. д.

Java стала чемпионом по уязвимостям: их имели 80% кода. Зато результаты JavaScript и Python имели в два раза меньше «дыр» — 30-40%. Интересно, что есть простой способ значительно повысить качество, а именно прямо указать ИИ на необходимость учета безопасности.

Компания объяснила полученные результаты и предоставила рекомендации по улучшению кода. По словам аналитиков, ИИ стремится создать код, который выглядит правильным, но не всегда учитывает безопасность. Кроме прямого указания по учету качества, кодерам советуют проверять результат средствами поиска уязвимостей и вручную.

В частности, в компании советуют сразу запускать статический анализ кода, использовать инструменты Veracode или другие для исправления ошибок, не полагаясь на надежность ИИ, применять анализаторы библиотек с открытым кодом, а также «фаервол для пакетов», который блокирует известные опасности еще до установки.

Вайб-кодинг становится безумно популярным и позволяет достичь выдающихся результатов не только программистам, но и «продавцам лопат», которые создают инструменты для него. Некоторые программисты буквально уже оказался на улице. Поэтому стоит учитывать не только его сильные, но и слабые стороны. Недавно мы писали, как сервис вайб-кодинга удалил все рабочие данные пользователя и скрывал это — таким образом он скрыл и все ошибки и уязвимости.

Источник: DOU