En ny studie om sikkerheten i AI-generert kode avslører et alvorlig problem: Nesten 50 % av koden som genereres av store språkmodeller (LLM-er), inneholder kjente sikkerhetsfeil. Forskere hos Veracode advarer om at koden ofte fungerer – men sjelden er sikker.
Forskerne testet 100 populære LLM-er ved å be dem løse 80 programmeringsoppgaver på fire språk: Java, JavaScript, C# og Python. Målet var å undersøke hvor godt modellene taklet kjente sårbarheter som SQL-injeksjon, cross-site scripting (XSS), logginjeksjon og usikre kryptografiske algoritmer.
Resultatet? Bare 55 % av koden var sikker. Det betyr at hele 45 % av løsningene introduserte sårbarheter – mange av dem alvorlige.
Større modeller ga ikke tryggere kode
Overraskende nok presterte ikke større og mer avanserte språkmodeller noe bedre enn de mindre. Modeller med over 100 milliarder parametere hadde en bestått-rate på 50,87 %, mens mindre modeller under 20 milliarder lå på 50,65 %.
Veracode-forskerne påpeker at nyere modeller er flinkere til å produsere syntaktisk korrekt og funksjonell kode, men at de fortsatt sliter med sikkerhet.
– Sikkerhetsprestasjonene har knapt forbedret seg de siste to årene, konkluderer rapporten.
Java mest risikabelt – Python sikrest
Java kom dårligst ut, med kun 28,5 % sikker kode. Forskerne mener dette skyldes at eldre – og ofte usikre – Java-kodeeksempler er brukt i treningsmaterialet. Python var sikrest med 61,69 % godkjent, etterfulgt av JavaScript (57 %) og C# (55 %).
De verste resultatene kom innen:
- Cross-site scripting (XSS)
- Logginjeksjon
Der hadde modellene bare 12–13 % godkjenningsgrad.
Derimot presterte de godt på utdaterte kryptografimetoder og SQL-injeksjon, med en treffrate på rundt 80–85 %.
AI-generert kode kan øke sikkerhetsrisikoen i det stille
Bedrifter som bruker AI-verktøy til å skrive kode, risikerer å introdusere sårbarheter uten å være klar over det. Feilene kan komme fra interne utviklere, tredjepartsleverandører eller åpne kildekodebiblioteker – alle med AI involvert.
Etter hvert som flere selskaper tar i bruk generativ AI til kodeproduksjon, øker også risikoen for datalekkasjer, omdømmeskade og regulatoriske sanksjoner.
– Når du “viber” kode, pådrar du deg teknisk gjeld i samme tempo som modellen spytter ut linjene, advarer Steve Krouse, administrerende direktør i Val Town.
LLM-er kan være nyttige for prototyping, men å bruke dem til produksjonskode uten grundig sikkerhetsgjennomgang kan få alvorlige konsekvenser.
Konklusjon
Krisen rundt sikkerhet i AI-generert kode vokser. Til tross for teknologiske fremskritt genererer språkmodeller fortsatt sårbar kode i urovekkende omfang. Med 45 % av løsningene inneholdende kjente svakheter, må utviklere og selskaper være på vakt. Å stole på AI uten gode sikkerhetsrutiner kan bli en tikkende bombe – både for systemer, virksomheter og brukere.
0 responses to “Sikkerheten i AI-generert kode svikter – 45 % inneholder kjente sårbarheter”