Tāpat kā jūs Droši vien neaudzējiet un sasmalciniet kviešus, lai pagatavotu miltus jūsu maizei, vairums programmatūras izstrādātāju neraksta katru koda līniju jaunā projektā no nulles. To darot, būtu ārkārtīgi lēni un varētu radīt vairāk drošības problēmu, nekā tas atrisina. Tātad izstrādātāji izmanto esošās bibliotēkas – bieži atvērtā pirmkoda projektus -, lai iegūtu dažādus pamatprogrammatūras komponentus.
Kaut arī šī pieeja ir efektīva, tā var radīt ekspozīciju un redzamības trūkumu programmatūrā. Tomēr arvien vairāk tiek izmantots vibe kodēšanas pieaugums līdzīgā veidā, ļaujot izstrādātājiem ātri sadalīt kodu, kuru viņi var vienkārši pielāgot, nevis rakstīt no nulles. Drošības pētnieki tomēr brīdina, ka šis jaunais spraudņu un spēles koda žanrs padara programmatūras piegādes ķēdes drošību vēl sarežģītāku un bīstamu.
“Mēs šobrīd sasniedzam punktu, kur AI gatavojas zaudēt savu labvēlības periodu drošībā,” saka Alekss Zenla, mākoņu drošības firmas Edera galvenais tehnoloģiju vadītājs. “Un AI ir paša vissliktākais ienaidnieks attiecībā uz nedrošu koda ģenerēšanu. Ja AI daļēji tiek apmācīts par veco, neaizsargātu vai zemas kvalitātes programmatūru, kas tur ir pieejama, tad visas pastāvīgās ievainojamības var atkārtoties un tikt ieviestas vēlreiz, nemaz nerunājot par jauniem jautājumiem.”
Papildus potenciāli nedrošu apmācības datu nepieredzēšanai Vibe kodēšanas realitāte ir tāda, ka tas rada aptuvenu koda projektu, kas, iespējams, pilnībā neņem vērā visu konkrēto kontekstu un apsvērumus attiecībā uz konkrēto produktu vai pakalpojumu. Citiem vārdiem sakot, pat ja uzņēmums apmāca vietējo modeli projekta avota kodeksā un dabiskās valodas mērķu aprakstam, ražošanas course of joprojām ir atkarīgs no cilvēku recenzentu spējas pamanīt jebkādu iespējamo AI radīto koda trūkumu vai neatbilstību.
“Inženierzinātņu grupām ir jādomā par attīstības dzīves ciklu Vibe kodēšanas laikmetā,” saka Erans Kinsbruners, lietojumprogrammu drošības firmas CheckMarx pētnieks. “Ja jūs lūdzat tieši to pašu LLM modeli rakstīt savam konkrētajam avota kodam, katru reizi tam būs nedaudz atšķirīga izvade. Viens izstrādātājs komandā ģenerēs vienu izvadi, wager otrs izstrādātājs iegūs atšķirīgu izvadi. Tātad, kas ievieš papildu komplikāciju ārpus atvērtā pirmkoda.”
CheckMarx apsekot Galveno informācijas drošības darbinieku, lietojumprogrammu drošības vadītāju un attīstības vadītāju vadītāju trešdaļa respondentu sacīja, ka vairāk nekā 60 procentus no viņu organizācijas kodeksa 2024. gadā izveidoja AI. Guess tikai 18 procenti respondentu sacīja, ka viņu organizācijai ir apstiprinātu instrumentu saraksts vibe kodēšanai. CHECKMARX aptaujāja tūkstošiem profesionāļu un augustā publicēja secinājumus – arī uzsverot, ka AI attīstība apgrūtina koda “īpašumtiesības” izsekošanu.
