Робот-программист может оказаться не самым надежным помощником.
Компания Apiiro при поддержке Gartner Research опубликовала в среду тревожный отчет о безопасности кода, созданного инструментами искусственного интеллекта. Специалисты проанализировали миллионы строк в десятках компаний из финансового сектора, промышленного производства и технологической отрасли. Результаты показали: когда для создания программ используется ИИ, качество защиты неизбежно приносится в жертву скорости.
Согласно июльскому опросу Stack Overflow, восемь из десяти разработчиков уже применяют искусственный интеллект в своей работе. На сегодня это самый востребованный способ автоматизации при создании программного обеспечения. За последние полгода генеративные технологии сделали большой шаг вперед, поэтому специалисты уверены – число программистов, обращающихся за помощью к нейросетям, продолжит увеличиваться.
Переломный момент наступил после появления ChatGPT от OpenAI в ноябре 2022 года. С тех пор количество запросов на изменение кода выросло на 70% по сравнению с третьим кварталом того же года. При этом число репозиториев увеличилось всего на 30%, а штат специалистов пополнился лишь на 20%.
Показательна история GitHub Copilot – ведущего ИИ-помощника для разработчиков. По данным Microsoft, сейчас этим инструментом пользуются более 150 миллионов человек. Аудитория сервиса удвоилась с момента запуска в октябре 2021 года. Такой стремительный рост наглядно демонстрирует, насколько востребованными стали интеллектуальные ассистенты в программировании.
За последние шесть месяцев втрое выросло количество репозиториев, где хранится код, обрабатывающий личные и платежные данные пользователей. Также беспокоит десятикратный рост числа небезопасных программных интерфейсов (API). API – это набор правил и протоколов, позволяющих различным программам взаимодействовать друг с другом. Когда в них отсутствуют базовые механизмы защиты, злоумышленники получают прямой доступ к внутренним системам организации.
По данным Practical DevSecOp, через незащищенные API хакеры могут внедрять вредоносный код непосредственно в рабочие процессы компании. Например, отсутствие валидации входных данных позволяет им отправлять специально сформированные запросы, которые перегружают серверы или извлекают конфиденциальную информацию из баз данных. При отсутствии должной авторизации злоумышленники способны перехватывать сеансы легальных пользователей, получая доступ к их учетным записям и личным данным.
Главная проблема в том, что код, созданный генеративными системами, не учитывает специфические требования безопасности каждой организации и не соответствует корпоративным стандартам. Исследователи Apiiro зафиксировали: количество незащищенных точек доступа к конфиденциальным данным растет почти параллельно с общим числом программных репозиториев.
Бизнесу необходимо срочно внедрять автоматические системы проверки кода. Если один эксперт тратит в среднем 4-5 часов на проверку новой версии программы, то ИИ-ассистент способен создать десятки таких версий за час. При сохранении текущих темпов автоматизации этот разрыв будет только увеличиваться.
Проблема затрагивает все сектора экономики. В финансовой сфере автоматически созданный код обрабатывает конфиденциальные транзакции, в промышленности – управляет производственными процессами, а в технологических компаниях – отвечает за работу критически важных сервисов. Уязвимости в любой из этих областей могут привести к масштабным последствиям.
Эксперты Apiiro предлагают комплексное решение проблемы. Во-первых, необходимо внедрять современные системы автоматического анализа кода, способные выявлять потенциальные уязвимости еще на этапе разработки. Во-вторых, требуется создать новые стандарты безопасности, учитывающие специфику ИИ-разработки. В-третьих, усилить защиту репозиториев с конфиденциальными данными, внедрив многоуровневые системы контроля доступа.
Без этих мер, предупреждают аналитики, число уязвимостей в автоматически создаваемом коде продолжит расти в геометрической прогрессии.
