Studie zu Schwachstellen bei der Verwendung von KI-Schreibcode

AI

Diese Arbeit wird als wichtig angesehen, da sie ein besseres Verständnis dafür ermöglicht, wie KI-Assistenten-Tools Benutzer letztendlich dazu bringen, unsicheren Code zu schreiben.

Kürzlich haben die Nachrichten das verbreitet eine Gruppe von Forschern von der Stanford Universityd untersuchte die Auswirkungen der Verwendung intelligenter Assistenten beim Schreiben von Code auf Entstehung von Schwachstellen Im Code.

Es wird das erwähnt Sie wurden berücksichtigt Lösungen auf Basis der Machine-Learning-Plattform OpenAI Codex, wie GitHub Copilot, die es dem Benutzer ermöglichen, recht komplexe Codeblöcke bis hin zu gebrauchsfertigen Funktionen zu erstellen.

Das ist bis heute erwähnenswert es gibt immer noch Bedenken die damit zusammenhängen, dass da echter Code aus öffentlichen GitHub-Repositories verwendet wurde, einschließlich solcher, die Schwachstellen enthalten, zum Trainieren des maschinellen Lernmodells, kann der synthetisierte Code Fehler wiederholen und Code vorschlagen, der Schwachstellen enthält, und berücksichtigt auch nicht die Notwendigkeit zusätzlicher Überprüfungen bei der Verarbeitung externer Daten.

An der Studie nahmen 47 Freiwillige mit unterschiedlichen Erfahrungen teil in der Programmierung, vom Studenten bis zum Profi mit zehn Jahren Erfahrung. Die Teilnehmer sSie wurden in zwei Gruppen eingeteilt: experimentell (33 Leute) y steuern (14 Personen). Beide Gruppen hatten Zugriff auf alle Bibliotheken und Ressourcen im Internet, einschließlich der Verwendung von gebrauchsfertigen Beispielen von Stack Overflow. Der Versuchsgruppe wurde die Möglichkeit gegeben, den KI-Assistenten zu nutzen.

Jeder Teilnehmer erhielt 5 zusammenhängende Aufgaben mit dem Schreiben von Code, bei dem potenziell leicht Fehler gemacht werden können, die zu Schwachstellen führen. Zum Beispiel gab es Aufgaben, Verschlüsselungs- und Entschlüsselungsfunktionen zu schreiben, digitale Signaturen zu verwenden, Daten zu verarbeiten, die beim Bilden von Dateipfaden oder SQL-Abfragen beteiligt sind, große Zahlen in C-Code zu manipulieren, Eingaben zu verarbeiten, die auf Webseiten angezeigt werden.

Diese Tools basieren auf Modellen wie Codex von OpenAI und InCoder von Facebook, die auf großen Datensätzen von öffentlich verfügbarem Code (z. B. von GitHub) vortrainiert sind und eine Vielzahl von Nutzungsbedenken aufwerfen, die vom Urheberrechtsautor bis hin zu Auswirkungen auf Sicherheitslücken reichen. Während neuere Arbeiten diese Risiken in kleineren synthetischen Szenarien untersucht haben, wurden die Sicherheitsrisiken von KI-Assistentencode im Zusammenhang mit der Art und Weise, wie Entwickler sie verwenden, nicht umfassend untersucht.

Um die Auswirkungen von Programmiersprachen auf die Sicherheit des Codes zu betrachten, der durch die Verwendung von KI-Assistenten erhalten wird, umfassten die Aufgaben Python, C und JavaScript.

Im Ergebnis jaWir haben festgestellt, dass Teilnehmer, die einen KI-Assistenten verwendet haben modellbasiert smart codex-davinci-002 produzierte deutlich weniger sicheren Code als Teilnehmer, die keinen KI-Assistenten nutzten. Insgesamt konnten in der Gruppe, die den KI-Assistenten nutzte, nur 67 % der Teilnehmer einen korrekten und sicheren Code angeben, in der anderen Gruppe waren es 79 %.

Gleichzeitig kehrten sich die Sicherheitsindikatoren (Selbstwertgefühl) um: die Teilnehmer, die den KI-Assistenten verwendeten, glaubten, dass ihr Code sicherer wäre als die Teilnehmer der anderen Gruppe. Darüber hinaus wurde beobachtet, dass Teilnehmer, die dem KI-Assistenten weniger vertrauten und mehr Zeit damit verbrachten, die gegebenen Hinweise zu analysieren und Änderungen vorzunehmen, weniger Code-Schwachstellen erzeugten.

Zum Beispiel Code, der aus Kryptobibliotheken kopiert wurde, enthielt Standardparameterwerte sicherer als der vom KI-Assistenten vorgeschlagene Code. Außerdem wurden bei der Verwendung des KI-Assistenten die Auswahl weniger zuverlässiger Verschlüsselungsalgorithmen und die fehlende Authentifizierung der zurückgegebenen Werte behoben. In der C-Nummern-Manipulationsaufgabe hatte der mit dem KI-Assistenten geschriebene Code mehr Fehler, die zu einem Integer-Überlauf führten.

Zusätzlich Auf eine ähnliche Studie kann hingewiesen werden von einer Gruppe der New York University, die im November unter Beteiligung von 58 Studenten stattfand, die gebeten wurden, eine Struktur zur Verarbeitung einer Einkaufsliste in C zu implementieren. Die Ergebnisse zeigten einen geringen Einfluss des KI-Helfers auf die Codesicherheit: Benutzer, die den KI-Helfer verwendeten, machten im Durchschnitt etwa 10 % mehr sicherheitsbezogene Fehler.

Endlich ja Sie möchten mehr darüber erfahrenkönnen Sie die Details überprüfen im folgenden Link.


Schreiben Sie den ersten Kommentar

Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.