Опасные игры с ИИ: чем код, написанный нейросетью, грозит бизнесу
NewsMakerРобот-программист может оказаться не самым надежным помощником.
Компания Apiiro при поддержке Gartner Research опубликовала в среду тревожный отчет о безопасности программного кода, который создают инструменты искусственного интеллекта. Специалисты проанализировали миллионы строк кода в десятках компаний из финансового сектора, промышленного производства и технологической отрасли. Результаты показали: когда разработчики используют ИИ для написания программ, они неизбежно жертвуют безопасностью ради скорости.
Как выяснили аналитики Stack Overflow в июле прошлого года, восемь из десяти разработчиков уже применяют ИИ-инструменты, чтобы писать код. Сейчас это самый популярный способ использовать искусственный интеллект в работе программиста. За последние полгода генеративный ИИ сделал большой шаг вперед, поэтому эксперты уверены – число таких разработчиков продолжит расти.
Все началось с появления ChatGPT от OpenAI в ноябре 2022 года. С тех пор количество запросов на изменение кода выросло на 70% по сравнению с третьим кварталом того же года. При этом число хранилищ программного кода увеличилось всего на 30%, а разработчиков стало больше лишь на 20%. Из-за такого разрыва специалисты по безопасности просто не успевают проверять весь созданный код.
Показательна история GitHub Copilot – одного из главных ИИ-помощников для программистов. По данным Microsoft, сейчас им пользуются более 150 миллионов человек. Это вдвое больше, чем было на момент запуска в октябре 2021 года. Такой стремительный рост наглядно показывает, насколько популярными стали ИИ-инструменты среди разработчиков.
За последние полгода втрое выросло число хранилищ кода, где содержатся персональные и платежные данные пользователей. Эксперты Apiiro бьют тревогу: старые методы проверки безопасности и контроля рисков уже не работают в новую эпоху, когда код пишет искусственный интеллект.
Особую озабоченность вызывает десятикратный рост числа программных интерфейсов (API), в которых отсутствуют базовые механизмы защиты – авторизация и проверка входных данных. Эта проблема напрямую связана с тем, что разработчики все чаще доверяют написание кода искусственному интеллекту. Специалисты предупреждают: такие уязвимости – настоящий подарок для злоумышленников.
Аналитики Practical DevSecOp подчеркивают: незащищенные API открывают путь для самых разных атак. Хакеры могут украсть данные, захватить учетные записи пользователей, внедрить вредоносный код, перехватить сеансы работы, перегрузить системы и найти множество других способов навредить компании.
Главная проблема в том, что генеративный ИИ не понимает, какие правила безопасности приняты в конкретной организации и каким требованиям должен соответствовать код. Исследователи Apiiro обнаружили: число API, через которые можно получить доступ к конфиденциальным данным, растет почти так же быстро, как и общее количество программных хранилищ.
Специалисты уверены: компаниям срочно нужно внедрять автоматические системы проверки безопасности кода. Когда проверкой занимаются люди, они физически не могут угнаться за скоростью, с которой ИИ создает новые программы. Это подвергает бизнес серьезному риску.
Технические эксперты считают, что по мере развития искусственного общего интеллекта (AGI) проблемы с безопасностью кода постепенно исчезнут. Однако компании не могут ждать – им нужно уже сейчас усиливать защиту своих приложений. Ситуация осложняется тем, что на разработчиков давят, требуя писать код все быстрее и быстрее, а это только увеличивает риски.
Разрыв между скоростью создания кода и возможностями команд безопасности становится критическим. Если темпы внедрения ИИ-инструментов сохранятся, а подходы к проверке кода не изменятся, этот разрыв будет только расти.
Данные Apiiro показывают: проблема актуальна для всех отраслей, где ИИ помогает писать код. Финансисты, промышленники и технологические компании одинаково рискуют, когда полагаются на автоматически созданные программы.
Эксперты призывают организации пересмотреть свой подход к безопасности приложений. Нужны современные инструменты анализа, которые справятся с возросшим объемом кода и учтут особенности работы искусственного интеллекта.
Авторы исследования особо подчеркивают: компаниям необходимо тщательнее следить за тем, как ИИ-инструменты обрабатывают конфиденциальные данные. Резкий рост числа хранилищ с личной информацией требует создать дополнительные барьеры для защиты этих данных.
Специалисты Apiiro предупреждают: если не принять комплексные меры и не автоматизировать проверку кода, проблемы с безопасностью ИИ-программ будут только нарастать. Чем больше разработчики полагаются на искусственный интеллект, тем острее становится потребность в новых стандартах и методах защиты.
Компания Apiiro при поддержке Gartner Research опубликовала в среду тревожный отчет о безопасности программного кода, который создают инструменты искусственного интеллекта. Специалисты проанализировали миллионы строк кода в десятках компаний из финансового сектора, промышленного производства и технологической отрасли. Результаты показали: когда разработчики используют ИИ для написания программ, они неизбежно жертвуют безопасностью ради скорости.
Как выяснили аналитики Stack Overflow в июле прошлого года, восемь из десяти разработчиков уже применяют ИИ-инструменты, чтобы писать код. Сейчас это самый популярный способ использовать искусственный интеллект в работе программиста. За последние полгода генеративный ИИ сделал большой шаг вперед, поэтому эксперты уверены – число таких разработчиков продолжит расти.
Все началось с появления ChatGPT от OpenAI в ноябре 2022 года. С тех пор количество запросов на изменение кода выросло на 70% по сравнению с третьим кварталом того же года. При этом число хранилищ программного кода увеличилось всего на 30%, а разработчиков стало больше лишь на 20%. Из-за такого разрыва специалисты по безопасности просто не успевают проверять весь созданный код.
Показательна история GitHub Copilot – одного из главных ИИ-помощников для программистов. По данным Microsoft, сейчас им пользуются более 150 миллионов человек. Это вдвое больше, чем было на момент запуска в октябре 2021 года. Такой стремительный рост наглядно показывает, насколько популярными стали ИИ-инструменты среди разработчиков.
За последние полгода втрое выросло число хранилищ кода, где содержатся персональные и платежные данные пользователей. Эксперты Apiiro бьют тревогу: старые методы проверки безопасности и контроля рисков уже не работают в новую эпоху, когда код пишет искусственный интеллект.
Особую озабоченность вызывает десятикратный рост числа программных интерфейсов (API), в которых отсутствуют базовые механизмы защиты – авторизация и проверка входных данных. Эта проблема напрямую связана с тем, что разработчики все чаще доверяют написание кода искусственному интеллекту. Специалисты предупреждают: такие уязвимости – настоящий подарок для злоумышленников.
Аналитики Practical DevSecOp подчеркивают: незащищенные API открывают путь для самых разных атак. Хакеры могут украсть данные, захватить учетные записи пользователей, внедрить вредоносный код, перехватить сеансы работы, перегрузить системы и найти множество других способов навредить компании.
Главная проблема в том, что генеративный ИИ не понимает, какие правила безопасности приняты в конкретной организации и каким требованиям должен соответствовать код. Исследователи Apiiro обнаружили: число API, через которые можно получить доступ к конфиденциальным данным, растет почти так же быстро, как и общее количество программных хранилищ.
Специалисты уверены: компаниям срочно нужно внедрять автоматические системы проверки безопасности кода. Когда проверкой занимаются люди, они физически не могут угнаться за скоростью, с которой ИИ создает новые программы. Это подвергает бизнес серьезному риску.
Технические эксперты считают, что по мере развития искусственного общего интеллекта (AGI) проблемы с безопасностью кода постепенно исчезнут. Однако компании не могут ждать – им нужно уже сейчас усиливать защиту своих приложений. Ситуация осложняется тем, что на разработчиков давят, требуя писать код все быстрее и быстрее, а это только увеличивает риски.
Разрыв между скоростью создания кода и возможностями команд безопасности становится критическим. Если темпы внедрения ИИ-инструментов сохранятся, а подходы к проверке кода не изменятся, этот разрыв будет только расти.
Данные Apiiro показывают: проблема актуальна для всех отраслей, где ИИ помогает писать код. Финансисты, промышленники и технологические компании одинаково рискуют, когда полагаются на автоматически созданные программы.
Эксперты призывают организации пересмотреть свой подход к безопасности приложений. Нужны современные инструменты анализа, которые справятся с возросшим объемом кода и учтут особенности работы искусственного интеллекта.
Авторы исследования особо подчеркивают: компаниям необходимо тщательнее следить за тем, как ИИ-инструменты обрабатывают конфиденциальные данные. Резкий рост числа хранилищ с личной информацией требует создать дополнительные барьеры для защиты этих данных.
Специалисты Apiiro предупреждают: если не принять комплексные меры и не автоматизировать проверку кода, проблемы с безопасностью ИИ-программ будут только нарастать. Чем больше разработчики полагаются на искусственный интеллект, тем острее становится потребность в новых стандартах и методах защиты.