研究:AI編碼助手可能導(dǎo)致代碼不安全,開發(fā)人員應(yīng)該謹(jǐn)慎采用

極客網(wǎng)·人工智能1月5日 研究人員表示,開發(fā)人員在編寫代碼時(shí)依賴AI(人工智能)助手會(huì)讓對(duì)自己的開發(fā)工作過(guò)于自信,導(dǎo)致代碼不太安全。 

斯坦福大學(xué)最近進(jìn)行的一項(xiàng)研究發(fā)現(xiàn),基于AI的編碼助手(例如GitHub的Copilot)會(huì)讓開發(fā)人員對(duì)他們的工作質(zhì)量感到迷惑,導(dǎo)致軟件可能存在漏洞,并且更不安全。一位AI專家表示,在使用AI助手完成這類任務(wù)時(shí),開發(fā)人員管理自己的預(yù)期很重要。 

image001.png

AI編碼引入的安全漏洞更多

這項(xiàng)研究通過(guò)47名開發(fā)人員進(jìn)行了一項(xiàng)試驗(yàn),其中33人在編寫代碼時(shí)使用AI助手,而對(duì)照組中有14人獨(dú)自編寫代碼。他們必須完成五項(xiàng)與安全相關(guān)的編程任務(wù),包括使用對(duì)稱密鑰加密或解密字符串。他們都可以使用網(wǎng)絡(luò)瀏覽器獲得幫助。 

用于編碼和其他任務(wù)的AI助手工具正變得越來(lái)越受歡迎,微軟旗下的GitHub將在2021年推出Copilot作為技術(shù)預(yù)覽版,以提高開發(fā)人員的生產(chǎn)力。 

微軟在今年9月發(fā)布的一份研究報(bào)告中指出,GitHub讓開發(fā)人員的工作效率更高。88%的受訪者表示采用Copilot在編碼時(shí)效率更高,59%的受訪者表示,其主要的好處是可以更快地完成重復(fù)任務(wù)和更快地完成編碼。

斯坦福大學(xué)的研究人員想了解用戶是否用AI助手編寫了更不安全的代碼,并發(fā)現(xiàn)事實(shí)確實(shí)如此。他們說(shuō),那些使用AI助手的開發(fā)人員對(duì)代碼的質(zhì)量仍然抱有幻想。

該團(tuán)隊(duì)在論文中寫道:“我們觀察到,與對(duì)照組的開發(fā)人員相比,獲得AI助手幫助的開發(fā)人員更有可能在大多數(shù)編程任務(wù)中引入安全漏洞,但也更有可能將不安全的答案評(píng)為安全。此外研究還發(fā)現(xiàn),在向AI助手創(chuàng)建查詢方面投入更多的開發(fā)人員(例如采用AI助手功能或調(diào)整參數(shù)),最終更有可能提供安全的解決方案?!?nbsp;

該研究項(xiàng)目只使用了三種編程語(yǔ)言:Python、C和Verilog。它涉及到相對(duì)較少的參與者,這些開發(fā)人員開發(fā)經(jīng)驗(yàn)各有不同,其中包括畢業(yè)不久的大學(xué)生和經(jīng)驗(yàn)豐富的專業(yè)人員,他們使用的是由管理員監(jiān)控的專門開發(fā)的應(yīng)用程序。 

第一個(gè)試驗(yàn)采用Python編寫,而那些在AI助手的幫助下編寫的代碼更有可能不安全或不正確。在沒(méi)有AI助手幫助的對(duì)照組中, 79%的開發(fā)人員編寫的代碼沒(méi)有質(zhì)量問(wèn)題;而有AI助手幫助的對(duì)照組中,只有67%的開發(fā)人員編寫的代碼沒(méi)有質(zhì)量問(wèn)題。 

謹(jǐn)慎使用AI編碼助手

在創(chuàng)建代碼的安全性方面,情況變得更糟,因?yàn)椴捎肁I助手的開發(fā)人員更有可能提供不安全的解決方案,或者使用簡(jiǎn)單的密碼來(lái)加密和解密字符串。他們也不太可能對(duì)最終值進(jìn)行真實(shí)性檢查,以確保流程按預(yù)期工作。 

斯坦福大學(xué)的研究人員表示,研究結(jié)果表明,經(jīng)驗(yàn)不足的開發(fā)人員可能傾向于相信AI助手,但有可能面臨引入新的安全漏洞的風(fēng)險(xiǎn)。因此,這項(xiàng)研究將有助于改進(jìn)和指導(dǎo)未來(lái)AI代碼助手的設(shè)計(jì)。

軟件供應(yīng)商Pegasystems公司AI實(shí)驗(yàn)室主任Peter van der Putten表示,盡管規(guī)模很小,但這項(xiàng)研究非常有趣,得出的結(jié)果可以激發(fā)人們進(jìn)一步研究AI助手在代碼和其他領(lǐng)域的使用。他說(shuō):“這也與我們對(duì)AI助手依賴程度的一些更廣泛的研究得出的結(jié)論相一致?!?nbsp;

他警告說(shuō),采用AI助手的開發(fā)人員應(yīng)該以漸進(jìn)的方式獲得對(duì)該工具的信任,不要過(guò)度依賴它,并了解它的局限性。他說(shuō),“對(duì)一項(xiàng)技術(shù)的接受程度不僅取決于對(duì)質(zhì)量和性能的期望,還取決于它是否能節(jié)省時(shí)間和精力。總的來(lái)說(shuō),人們對(duì)AI助手的使用持積極態(tài)度,只要他們的期望得到管理。這意味著需要定義如何使用這些工具的最佳實(shí)踐,以及采用潛在的額外功能來(lái)測(cè)試代碼質(zhì)量?!?/p>


(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )

贊助商
2023-01-05
研究:AI編碼助手可能導(dǎo)致代碼不安全,開發(fā)人員應(yīng)該謹(jǐn)慎采用
極客網(wǎng)·人工智能1月5日研究人員表示,開發(fā)人員在編寫代碼時(shí)依賴AI(人工智能)助手會(huì)讓對(duì)自己的開發(fā)工作過(guò)于自信,導(dǎo)致代碼不太安全。斯坦福大學(xué)最近進(jìn)行的一項(xiàng)研究發(fā)現(xiàn),基于AI的編碼助手(例如GitHub的Copilot)會(huì)讓開發(fā)人員對(duì)他們的工作質(zhì)量感到迷惑,導(dǎo)致軟件可能存在漏洞,并且...

長(zhǎng)按掃碼 閱讀全文