- Laporan menemukan 45% kode yang dihasilkan AI memiliki kelemahan keamanan
- Java adalah pelaku terburuk, Python, C# dan JavaScript juga terpengaruh
- Bangkitnya pengkodean getaran bisa membuat ancaman ini semakin buruk
Hampir setengah (45%) dari kode yang dihasilkan AI berisi kekurangan keamanan meskipun muncul penelitian yang siap produksi, Veracode telah ditemukan.
Studi tentang lebih dari 100 model bahasa besar di 80 tugas pengkodean yang berbeda mengungkapkan tidak ada peningkatan keamanan di seluruh model yang lebih baru atau lebih besar – kenyataan yang mengkhawatirkan bagi perusahaan yang mengandalkan alat AI untuk mendukung, atau bahkan mengganti, produktivitas manusia.
Java ditemukan menjadi yang terpengaruh terburuk, dengan tingkat kegagalan 70%+, tetapi Python, C# dan JavaScript juga memiliki tingkat kegagalan 38-45%.
Kode yang dihasilkan AI tidak begitu aman
Berita itu datang karena semakin banyak pengembang mengandalkan AI generatif untuk membantu mereka mendapatkan kode yang ditulis-sebanyak sepertiga dari kode Google dan Microsoft baru sekarang dapat dihasilkan AI.
“Munculnya pengkodean getaran, di mana pengembang mengandalkan AI untuk menghasilkan kode, biasanya tanpa secara eksplisit mendefinisikan persyaratan keamanan, merupakan perubahan mendasar dalam bagaimana perangkat lunak dibangun,” Veracode CTO Jens Wessling menjelaskan.
Veracode menemukan LLM sering memilih metode pengkodean yang tidak aman 45%dari waktu, gagal untuk bertahan terhadap skrip lintas situs (86%) dan injeksi log (88%).
“Penelitian kami menunjukkan model menjadi lebih baik dalam pengkodean secara akurat tetapi tidak membaik pada keamanan,” tambah Wessling.
Kerentanan juga diperkuat di era modern AI – kecerdasan buatan memungkinkan penyerang untuk mengeksploitasi mereka lebih cepat dan pada skala.
Veracode menyarankan pengembang memungkinkan pemeriksaan keamanan dalam alur kerja yang digerakkan AI untuk menegakkan kepatuhan dan keamanan. Perusahaan juga harus mengadopsi panduan perbaikan AI untuk melatih pengembang, menggunakan firewall dan menggunakan alat yang membantu mendeteksi kelemahan sebelumnya.
“Asisten pengkodean AI dan alur kerja agen mewakili masa depan pengembangan perangkat lunak … Keamanan tidak dapat menjadi renungan jika kita ingin mencegah akumulasi utang keamanan besar -besaran,” Wessling menyimpulkan.
