En ny studie om säkerheten i AI-genererad kod avslöjar ett allvarligt problem: nästan hälften av all kod som genereras av stora språkmodeller (LLM:er) innehåller kända säkerhetsbrister. Forskare vid Veracode varnar för att även om koden ofta fungerar som tänkt, är den sällan säker.
Forskargruppen testade 100 populära LLM:er genom att tilldela dem 80 programmeringsuppgifter fördelade på fyra språk: Java, JavaScript, C# och Python. Målet var att identifiera sårbarheter relaterade till SQL-injektioner, cross-site scripting (XSS), logginjektioner och osäkra kryptografiska algoritmer.
Resultatet? Endast 55 % av koden var säker. Det innebär att 45 % av de AI-genererade lösningarna innehöll sårbarheter – ofta allvarliga sådana.
Större modeller innebar inte säkrare kod
Överraskande nog presterade större och mer avancerade språkmodeller inte bättre än mindre. Modeller med över 100 miljarder parametrar hade en säkerhetsgodkännandefrekvens på 50,87 %, medan mindre modeller med under 20 miljarder låg på 50,65 %.
Enligt Veracodes forskare är moderna modeller visserligen bättre på att skriva fungerande och korrekt syntaktisk kod – men inte på att skriva säker kod.
– Säkerhetsprestandan har knappt förbättrats på två år, konstaterar forskarna.
Java mest riskabelt – Python säkrast
Java presterade sämst i testet, med endast 28,5 % godkända säkerhetslösningar. Forskarna tror att det beror på att många gamla – och osäkra – kodexempel i Java använts i modellträningen. Bäst gick det för Python med 61,69 % godkända lösningar, följt av JavaScript (57 %) och C# (55 %).
De två sämsta områdena var:
- Cross-site scripting (XSS)
- Logginjektioner
Här låg godkännandefrekvensen på endast 12–13 % över alla modeller.
Däremot presterade modellerna bättre inom kryptografisk säkerhet och SQL-injektioner, med godkännanden på cirka 80–85 %.
AI-genererad kod kan tyst öka risken för intrång
Företag som använder AI-verktyg för kodgenerering kan omedvetet införa sårbarheter i sina system. Dessa brister kan uppstå via interna utvecklare, open source-bibliotek eller tredjepartsleverantörer som använder AI.
När allt fler företag börjar använda AI för att skriva kod ökar även risken för dataintrång, förlorat anseende och regelefterlevnadssanktioner.
– När du ”vibar” kod lägger du teknisk skuld lika snabbt som modellen spottar ut den, varnar Val Towns vd Steve Krouse.
LLM:er kan vara bra för att snabbt bygga prototyper – men att lita på dem för produktion utan rigorös säkerhetsgranskning kan få katastrofala konsekvenser.
Slutsats
Krisen kring säkerheten i AI-genererad kod växer. Trots framsteg i AI-tekniken fortsätter modellerna att producera kod med sårbarheter i alarmerande takt. Med 45 % av alla genererade lösningar innehållande kända säkerhetsbrister måste företag vara extra vaksamma. Att förlita sig på AI utan ordentliga säkerhetsrutiner kan bli en tickande bomb – både för utvecklare och organisationer.
0 svar till ”Säkerheten i AI-genererad kod brister – 45 % innehåller kända sårbarheter”