Umelá inteligencia (AI) sa v posledných rokoch stala neoddeliteľnou súčasťou pracovných nástrojov programátorov. Od GitHub Copilot až po integrácie v IDE dokáže zrýchliť písanie kódu a odstrániť množstvo chýb. No podľa najnovšieho výskumu firmy Apiiro má táto „pomocná ruka“ aj svoju temnú stránku – desaťkrát viac bezpečnostných zraniteľností v projektoch, kde bola AI využívaná.
Viac kódu, viac problémov
Analýza tisícov vývojárov a desiatok tisíc repozitárov ukázala, že programátori s pomocou AI síce vytvárali 3–4× viac kódu, ale práve tento nárast produktivity priniesol aj výrazný nárast rizík. Podľa produktového manažéra Apiiro, Itaya Nussbauma, ide o dôsledok zrýchleného tempa vývoja, pri ktorom sa bezpečnosť často dostáva do úzadia.
Nussbaum to zhrnul výstižne: „AI neznásobuje jeden druh zraniteľnosti, ale všetky naraz. Opravuje preklepy, no vytvára časované bomby.“
Menej preklepov, ale obrovský nárast kritických zraniteľností
Na prvý pohľad sú čísla lákavé:
- syntaktické chyby klesli o 76 %
- logické chyby klesli o 60 %
Lenže tam, kde sa chyby opravili, vznikli iné, oveľa nebezpečnejšie:
- eskalácia privilégií vzrástla o 322 %
- problémy s architektonickým dizajnom stúpli o 153 %
Inými slovami, kód síce funguje, ale otvára dvere hackerom.
Akademické štúdie potvrdzujú rovnaký trend
Apiiro nie je jedinou, ktorá na problém upozorňuje. Nedávna štúdia výskumníkov z University of San Francisco, Vector Institute for AI v Kanade a University of Massachusetts Boston prišla k podobným záverom – AI „vylepšenia“ síce šetria čas, no celkovú bezpečnosť kódu dramaticky zhoršujú.
Keď firmy AI priamo vyžadujú
Situáciu zhoršuje aj fakt, že veľké technologické spoločnosti ako Coinbase, Shopify či Duolingo dnes od svojich zamestnancov priamo očakávajú používanie AI nástrojov pri vývoji. To znamená, že počet chýb a bezpečnostných zraniteľností sa ešte násobí plošne, nielen individuálne. Výsledkom je viac práce pre bezpečnostné tímy, ktoré musia opravovať stále väčší počet problémov.
Budúcnosť: viac AI, viac opráv?
Zatiaľ sa zdá, že AI vo vývoji nikto brzdiť neplánuje. Programátori, firmy aj investori ju považujú za nástroj, ktorý zvyšuje efektivitu a šetrí peniaze. Realita je však taká, že najväčšou transformáciou AI na pracovisku je zatiaľ „výroba“ chýb, ktoré potom musia ľudia opravovať. A pokiaľ sa nezavedú nové prístupy k bezpečnému kódovaniu s pomocou AI, trend sa bude ešte zhoršovať.
