Растущее число исследований от ведущих университетов и организаций по кибербезопасности, активно обсуждаемых в профессиональной среде 5 июля 2025 года, бьет тревогу по поводу серьезных рисков, связанных с широким использованием популярных ИИ-инструментов для написания кода, таких как GitHub Copilot и аналогичные решения. Несмотря на очевидный и значительный рост производительности разработчиков, эти ассистенты могут неосознанно внедрять в программный код опасные уязвимости, создавая так называемый «долг безопасности». Как подчеркивается в недавних отчетах OWASP (Open Web Application Security Project) и исследованиях, проведенных, например, в Техническом университете Делфта (TU Delft), основная проблема заключается в том, что ИИ-модели обучаются на огромных массивах общедоступного кода с платформ вроде GitHub. Этот исходный код часто содержит устаревшие, небезопасные или просто плохие практики программирования, которые искусственный интеллект затем изучает и воспроизводит в своих рекомендациях. Модель, оптимизированная для быстрого создания функционального кода, не всегда способна оценить его безопасность и надежность в реальных условиях. Среди наиболее распространенных проблем – предложение кода с классическими уязвимостями (такими как SQL-инъекции или XSS), использование устаревших библиотек с известными дырами в безопасности и генерация кода с тонкими логическими ошибками, которые трудно обнаружить при стандартном тестировании. Эксперты сходятся во мнении, что это требует фундаментального изменения в подходах к разработке программного обеспечения. Весь код, сгенерированный ИИ, должен проходить обязательное и тщательное ревью со стороны опытных разработчиков, а в процессы непрерывной интеграции и доставки (CI/CD) должны быть встроены автоматизированные инструменты статического анализа безопасности (SAST).
Исследования: ИИ-ассистенты для кодинга создают серьезные уязвимости в коде
