En ny undersøgelse af sikkerheden i AI-genereret kode afslører et alvorligt problem: Næsten 50 % af den kode, der genereres af store sprogmodeller (LLM’er), indeholder kendte sikkerhedsfejl. Forskere hos Veracode advarer om, at koden ofte fungerer teknisk – men sjældent er sikker.
Forskerne testede 100 populære LLM’er ved at give dem 80 programmeringsopgaver på tværs af fire sprog: Java, JavaScript, C# og Python. Målet var at identificere sårbarheder som SQL-injektion, cross-site scripting (XSS), log-injektion og usikre kryptografiske algoritmer.
Resultatet? Kun 55 % af den genererede kode var sikker. Det betyder, at 45 % indeholdt sårbarheder – ofte alvorlige.
Større modeller gav ikke sikrere kode
Overraskende nok klarede de største og mest avancerede modeller sig ikke bedre end de mindre. Modeller med over 100 milliarder parametre havde en godkendelsesrate på 50,87 %, mens mindre modeller under 20 milliarder lå på 50,65 %.
Ifølge Veracode er nyere modeller bedre til at skrive funktionel og syntaktisk korrekt kode, men de har ikke forbedret sig, når det gælder sikkerhed.
– Sikkerhedspræstationen har stort set ikke forbedret sig de seneste to år, konkluderer forskerne.
Java mest usikkert – Python bedst
Java klarede sig dårligst med en sikkerhedsgodkendelse på kun 28,5 %. Forskerne mener, det skyldes, at mange ældre (og sårbare) Java-eksempler er blevet brugt i træningsdataene. Python klarede sig bedst med 61,69 %, efterfulgt af JavaScript (57 %) og C# (55 %).
De to kategorier, hvor modellerne klarede sig dårligst, var:
- Cross-site scripting (XSS)
- Log-injektion
Her lå godkendelsesraten kun på 12–13 %.
Til gengæld havde modellerne bedre resultater på områder som SQL-injektion og forældet kryptografi, med succesrater på 80–85 %.
AI-kode øger stille og roligt risikoen for databrud
Virksomheder, der bruger AI-værktøjer til at generere kode, kan uforvarende introducere sårbarheder i deres systemer. Det gælder både internt udviklet kode og kode fra tredjepartsleverandører eller open source-projekter, der benytter AI.
Efterhånden som AI bliver standard i udviklingsmiljøer, vokser risikoen for datalæk, tab af omdømme og juridiske konsekvenser.
– Når du “viber” kode, pådrager du dig teknisk gæld lige så hurtigt, som LLM’en spytter det ud, advarer Val Towns direktør Steve Krouse.
LLM’er er gode til hurtig prototyping, men at bruge dem til produktionskode uden sikkerhedsgennemgang kan være katastrofalt.
Konklusion
Sikkerhedskrisen i AI-genereret kode vokser. På trods af teknologiske fremskridt genererer sprogmodeller stadig kode med sårbarheder i alarmerende omfang. Med 45 % af løsningerne indeholdende kendte fejl bør virksomheder og udviklere være særdeles påpasselige. At stole på AI uden solide sikkerhedsprocedurer kan blive en tikkende bombe for både forretning og brugere.
0 svar til “Sikkerheden i AI-genereret kode fejler – 45 % indeholder kendte sårbarheder”