Veracode 最近的一項研究表明，使用人工智能生成的代碼中只有 55% 不存在已知的網(wǎng)絡(luò)安全漏洞。

為了評估人工智能生成的代碼的安全性，Veracode 研究人員采用了現(xiàn)有的代碼函數(shù)，并用指示完整代碼應(yīng)完成的功能的注釋替換了其中的部分內(nèi)容。

在近一半 (45%) 的案例中，人工智能生成的代碼包含已知的安全漏洞。值得注意的是，較小的人工智能模型和最大的可用模型之間的性能幾乎沒有差異。

這凸顯了與“vibe 編碼”日益增長的趨勢相關(guān)的重大風(fēng)險，即開發(fā)人員嚴(yán)重依賴大型語言模型 (LLM) 來快速生成功能軟件代碼，而無需進(jìn)行深入審查。

研究團(tuán)隊評估了來自不同提供商、規(guī)模和用例的 100 多個法學(xué)碩士（包括特定編碼模型和通用模型），涉及 80 種不同的編碼任務(wù)。

Veracode 設(shè)計了這些任務(wù)，以便可以實現(xiàn)多種正確的實現(xiàn)，但至少有一個不正確的版本會引入一個已知的軟件漏洞，該漏洞屬于常見弱點枚舉 (CWE) 系統(tǒng)。

已識別的漏洞包括可利用的缺陷，例如SQL 注入、跨站腳本 (XSS) 、加密算法的弱點和日志注入攻擊，所有這些都出現(xiàn)在開放全球應(yīng)用程序安全項目 (OWASP) 十大關(guān)鍵安全風(fēng)險列表中。

根據(jù)漏洞類型的不同，性能差異很大。例如，模型避免了密碼缺陷和 SQL 注入問題，成功率相對較高，分別為 85.6% 和 80.4%。

然而，它們在防止 XSS 和日志注入漏洞方面表現(xiàn)不佳，生成的代碼平均只有 13.5% 和 12% 是安全的。

有趣的是，雖然隨著時間的推移，模??型在避免 SQL 注入和加密錯誤方面顯示出改進(jìn)，但它們防止 XSS 和日志注入缺陷的能力似乎正在惡化。

Veracode 得出的結(jié)論是，受測試的法學(xué)碩士的整體安全性能已趨于穩(wěn)定，在最近的迭代中沒有顯示出任何有意義的改進(jìn)。

該報告的作者承認(rèn)，更加深思熟慮地推動人工智能——特別是考慮到安全——可以改善結(jié)果。然而，這種做法并不常見。為了反映現(xiàn)實世界的使用情況，研究人員故意使用簡短的提示，模擬最低限度的指導(dǎo)。

他們還警告說，即使有更好的提示，法學(xué)碩士也常常無法識別哪些變量需要清理，而這是防止注入攻擊的關(guān)鍵步驟。

研究人員指出：“即使有很大的上下文窗口，仍然不確定這些模型是否能夠執(zhí)行準(zhǔn)確確定此類要求所需的詳細(xì)過程間數(shù)據(jù)流分析?！?/p>

該研究跨幾種主要編程語言測試了人工智能生成的代碼：Python、C#、JavaScript 和 Java。其中，盡管 Java 是一種廣泛使用的語言，但結(jié)果最差，生成的代碼中只有 28.5% 沒有漏洞。

人工智能生成的代碼仍然令人擔(dān)憂，但采用率持續(xù)增長

現(xiàn)在，使用人工智能工具生成代碼已經(jīng)很普遍。根據(jù) Stack Overflow 的最新數(shù)據(jù)， 84% 的軟件開發(fā)人員已經(jīng)在利用人工智能來加速他們的編碼工作流程。

然而，人們對人工智能生成代碼的信任度仍然很低。同一項調(diào)查發(fā)現(xiàn)，75.3% 的開發(fā)人員并不完全信任輸出，61.7% 的開發(fā)人員對將人工智能編寫的代碼集成到他們的系統(tǒng)中存在特定的安全擔(dān)憂。

盡管有這些保留，主要科技公司仍在繼續(xù)擴(kuò)大對人工智能生成代碼的依賴。 Alphabet 首席執(zhí)行官 Sundar Pichai 去年透露，谷歌 25% 的內(nèi)部代碼庫現(xiàn)在是在人工智能協(xié)助下創(chuàng)建的。同樣，微軟首席執(zhí)行官 Satya Nadella 最近表示，微軟高達(dá) 20-30% 的代碼是人工智能生成的。

納德拉指出，雖然微軟在 Python 代碼中采用 AI 進(jìn)展順利，但事實證明，將 AI 集成到 C 開發(fā)中更具挑戰(zhàn)性。盡管如此，據(jù)Business Insider報道，微軟首席技術(shù)官凱文·斯科特仍然保持樂觀，他預(yù)測到 2030 年，95% 的代碼將由人工智能生成。

隨著人工智能越來越嵌入軟件開發(fā)中，組織在決定如何將人工智能納入其編碼實踐時，需要平衡效率收益與 Veracode 等研究中強(qiáng)調(diào)的安全風(fēng)險。

請務(wù)必在 Google 新聞上關(guān)注php.cn ，以了解我們所有最新的技術(shù)新聞、深入分析和評論。

以上是研究人員在編碼任務(wù)上測試了 100 多個領(lǐng)先的 AI 模型 –近一半存在明顯的安全缺陷的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！