„Egy kutatás szerint az MI-asszisztenseket használó fejlesztők nem csak gyengébb minőségű kódokat termelnek, de még az a meggyőződésük is kialakul, hogy remek munkát végeznek.
A jelenleg használt,mesterséges intelligenciára épülő asszisztensek alkalmazásával a szoftverfejlesztők azt kockáztatják, hogy több hibával, kevésbé biztonságos módon és jogilag is potenciálisan támadhatóan állítják elő az új kódokat – olvasható a Stanford Egyetem informatikusainak tanulmányában. A „Do Users Write More Insecure Code with AI Assistant?” című kutatásukban azt vizsgálták, hogy a programozók hogyan használják az ilyen célú MI-segédeket, például a népszerű, de máris vitatott GitHub Copilot szolgáltatást.
Az anyagot szemléző AI News szerint a vizsgálatokból kiderült, hogy az asszisztenshez hozzáféréssel rendelkező fejlesztők átlagosan több biztonsági rést hagytak nyitva a munkájukban, mint a hozzáféréssel nem rendelkezők, ami különösen látványos volt a szöveges állományok titkosítását vagy az SQL-befecskendezéses támadásokkal szembeni sebezhetőséget tekintve. A dolog azért is érdekes, mert a kutatás kimutatta, hogy az MI-asszisztenseket használó fejlesztők túlértékelik az így létrehozott kódok minőségét.
Elsőre nem nyilvánvaló buktatók
„Megállapítottuk, hogy azok a résztvevők, akiknek hozzáférést biztosítottak egy MI-asszisztenshez, nagyobb valószínűséggel hitték el, hogy biztonságos kódot írtak, mint azok, akik nem kaptak hozzáférést” – olvasható a jelentésben, melynek elkészítése során több tucat programozót kértek fel a kódok létrehozására, részben az MI-eszközökre támaszkodva, részben pedig anélkül. Az egyik feladat például az volt, hogy oldják meg a Python nyelv alatt karakterláncok titkosítását és visszafejtését egy adott szimmetrikus kulccsal.
Ezt segítség nélkül 79 százalékuk oldotta meg hiba nélkül, míg a mesterséges intelligenciára támaszkodók eredménye 67 százalékos volt. A támogatott csoport „jelentősen nagyobb valószínűséggel” nyújtott bizonytalan megoldásokat a Welch-féle t-próba alapján, nagyobb valószínűséggel használt triviális titkosító algoritmusokat, vagy akár kihagyta az autentikációt a végső visszaadott értékeknél. Az AI News a kutatás egyik résztvevőjét is idézi, aki szerint az MI ugyanolyan jó támogatást nyújt, mint a fejlesztői közösségek, de soha nem nevezi hülyeségnek a kérdéseit.
A cikk egyébként felhívja a figyelmet az MI-asszisztensek egy járulékos problémájára is annak kapcsán, hogy a múlt hónapban az OpenAI és a Microsoft egy pert kapott a nyakába a szóban forgó GitHub Copilot miatt. Ezt ugyanis mások által készített nyilvános kódsorok milliárdjainak feldolgozásával tanítják, de forrásmegjelölés vagy a szerzői jogok egyéb elismerése nélkül. Az ilyen megfelelőséget lényegében a felhasználóra hagyják, akik akaratlanul is egyre nagyobb eséllyel válnak perelhetővé, ahogy az MI-alkalmazás fejlődik.
Arról, hogy a művészek is hasonló okokból lázadoznak a generatív mesterséges intelligencia ellen, ebben a cikkünkben számoltunk be.”
Forrás:
Jogi és biztonsági szempontból is necces lehet az MI-re támaszkodó programozás; Tököli Gábor; Bitport; 2022. december 31.
