الكود الذي تم إنشاؤه بواسطة مساعد البرمجة هو عربات التي تجرها الدواب في أحسن الأحوال ومن المحتمل أن تكون عرضة للهجمات في أسوأ الأحوال.
قام علماء من كلية تاندون للهندسة بجامعة نيويورك باختبار نظام الذكاء الاصطناعي GitHub Copilot للأمان ووجدوا أن حوالي 40٪ من الوقت ، الكود الذي يولده مساعد البرمجة هو في أفضل الأحوال أخطاء وفي أسوأ الأحوال عرضة للهجمات.
وفقًا لتقييم تجريبي للأمن السيبراني لمساهمات كود GitHub Copilot ، أنشأ الباحثون 89 نصًا برمجيًا لتطوير الكود لـ Copilot ، مما أدى إلى إنشاء 1692 برنامجًا. كما اتضح ، احتوت حوالي 40٪ من الحلول على ثغرات أمنية أو عيوب في التصميم يمكن أن يستغلها المهاجم.
Copilot متاح للاختبار التجريبي الخاص كملحق Microsoft Visual Studio Code. يسمح النظام للمطورين بوصف الوظيفة في سطر تعليق ثم يحاول إنشاء رمز يطابق الوصف. يمكن لـ Copilot أيضًا التنبؤ من أسماء المتغيرات والوظائف وتلميحات أخرى بما سيكتبه المطور بعد ذلك.
نظر الباحثون في ثلاثة جوانب مميزة لنتائج Copilot: مدى إنشاء كود يعرض قائمة بأكثر 25 نقطة ضعف شيوعًا ؛ احتمالية أن تولد التلميحات المختلفة ثغرات أمنية لحقن SQL ؛ وكيف يتعامل مع اقتراحات التعليمات البرمجية للغات الأقل شيوعًا (مثل Verilog).
وفقًا للخبراء ، في عدد من الحالات ، تم إنشاء Copilot بلغة C باستخدام مؤشرات من malloc () دون التحقق من أنها ليست NULL ، ورمزًا يتضمن بيانات اعتماد مضمنة ، ورمزًا مرر إدخال مستخدم غير موثوق به مباشرةً إلى سطر الأوامر ، ورمزًا يعرض أكثر من الأرقام الأربعة الأخيرة من رقم الضمان الاجتماعي بالولايات المتحدة.
0 تعليقات