Casi la mitad de todos los códigos generado por AI que se encuentra que contiene defectos de seguridad, incluso grandes LLM afectados
- El informe encuentra que el 45% del código generado por IA tenía defectos de seguridad
- Java es el peor delincuente, Python, C# y JavaScript también afectados
- El aumento en la codificación de ambas podría empeorar estas amenazas
Casi la mitad (45%) del código generado por IA contiene defectos de seguridad a pesar de que aparecen una nueva investigación lista para la producción de Veracode.
Su estudio de más de 100 modelos de idiomas grandes en 80 tareas de codificación diferentes no reveló una mejora en la seguridad en modelos más nuevos o más grandes, una realidad alarmante para las empresas que confían. Herramientas AI Para respaldar, o incluso reemplazar, productividad humana.
Se descubrió que Java es el más afectado, con una tasa de falla del 70%, pero PitónC# y JavaScript también tuvieron tasas de falla del 38-45%.
El código generado por IA no es tan seguro después de todo
La noticia se produce a medida que más y más desarrolladores dependen de la IA generativa para ayudarlos a escribir el código, hasta un tercio del nuevo Google y Microsoft El código ahora podría ser generado por IA.
“El aumento de la codificación de ambientes, donde los desarrolladores confían en la IA para generar código, generalmente sin definir explícitamente los requisitos de seguridad, representa un cambio fundamental en cómo se construye el software”, explicó Veracode CTO Jens Wessling.
Veracode encontró que los LLM a menudo eligen métodos inseguros para codificar el 45%del tiempo, no se defienden contra secuencias de comandos de sitios cruzados (86%) e inyección logarítmica (88%).
“Nuestra investigación muestra que los modelos están mejorando en la codificación con precisión, pero no están mejorando en seguridad”, agregó Wessling.
Las vulnerabilidades también se amplifican en la era moderna de la IA: la inteligencia artificial permite a los atacantes explotarlos más rápido y a escala.
Veracode sugiere que los desarrolladores habilitan las verificaciones de seguridad en flujos de trabajo impulsados por la IA para hacer cumplir el cumplimiento y la seguridad. Las empresas también deben adoptar la orientación de remediación de IA para capacitar a los desarrolladores, implementar firewalls y usar herramientas que ayuden a detectar fallas antes.
“Los asistentes de codificación de IA y los flujos de trabajo de agente representan el futuro del desarrollo de software … La seguridad no puede ser una idea de último momento si queremos evitar la acumulación de deuda de seguridad masiva”, concluyó Wessling.
