Selon une étude récente, Les ingénieurs logiciels qui utilisent des systèmes d'IA pour générer du code sont plus susceptibles de provoquer des failles de sécurité dans les applications qu'ils développent. L'article, co-écrit par une équipe de chercheurs affiliés à Stanford, met en évidence les pièges potentiels des systèmes de génération de code alors que des fournisseurs comme GitHub commencent à les commercialiser sérieusement.
« Actuellement, les systèmes de génération de code ne remplacent pas les développeurs humains »Neil Perry, doctorant à Stanford et co-auteur principal de l'étude, explique dans une interview par e-mail. "Les développeurs qui les utilisent pour accomplir des tâches en dehors de leurs propres domaines d'expertise devraient être concernés, et ceux qui les utilisent pour accélérer des tâches pour lesquelles ils sont déjà experts devraient vérifier attentivement les résultats et le contexte dans lequel ils sont utilisés dans le projet général. .»
L'étude de Stanford s'est concentrée spécifiquement sur Codex, le système de génération de code d'IA développé par le laboratoire de recherche OpenAI basé à San Francisco. Les chercheurs ont recruté 47 développeurs, allant d'étudiants universitaires à des professionnels de l'industrie avec des décennies d'expérience en programmation, pour utiliser Codex afin de résoudre des problèmes liés à la sécurité dans des langages de programmation tels que Python, JavaScript et C.
Codex est formé sur des milliards de lignes de code public pour suggérer des lignes de code et des fonctionnalités supplémentaires en fonction du contexte du code existant. Le système propose une approche ou une solution de programmation en réponse à une description de ce qu'un programmeur veut réaliser (par exemple, "Say hello world"), basée à la fois sur sa base de connaissances et sur le contexte actuel.
Selon les chercheurs, les participants à l'étude qui avaient accès au Codex étaient plus susceptibles d'écrire des solutions incorrectes et "dangereuses" (au sens de la cybersécurité) aux problèmes de programmation par rapport à un groupe témoin. Et ce qui est encore plus inquiétant, ils étaient plus susceptibles de dire que leurs réponses non sûres étaient sûres par rapport aux personnes du groupe témoin.
megha srivastava, étudiant diplômé à Stanford et deuxième co-auteur de l'étude, souligne que les résultats ne constituent pas une condamnation complète du Codex et des autres systèmes de génération de code. Par exemple, les participants à l'étude n'avaient pas de connaissances en sécurité qui leur auraient permis de mieux détecter les vulnérabilités du code. En dehors de cela, Srivastava pense que les systèmes de génération de code sont utiles pour les tâches à faible risque, telles que le code de recherche exploratoire, et qu'ils pourraient améliorer leurs suggestions de codage avec un réglage fin.
"Les entreprises développant leurs propres [systèmes], peut-être avec plus de formation sur leur code source interne, pourraient s'en tirer mieux, car le modèle pourrait être encouragé à produire des résultats plus conformes à leurs pratiques de codage et de sécurité"dit Srivastava.
Alors, comment des fournisseurs comme GitHub pourraient-ils empêcher les développeurs d'introduire des failles de sécurité en utilisant leurs systèmes d'IA générant du code ? Les co-auteurs ont quelques idées, y compris un mécanisme pour "affiner" les instructions utilisateur afin de les rendre plus sûres, un peu comme un superviseur passant en revue et révisant des brouillons de code. Ils suggèrent également que les développeurs de bibliothèques cryptographiques s'assurent que leurs configurations par défaut sont sécurisées, car les systèmes de génération de code ont tendance à s'en tenir à des valeurs par défaut qui ne sont pas toujours exemptes d'exploitation.
"Les outils de génération de code d'assistant IA sont un développement vraiment passionnant et, naturellement, tant de gens sont impatients de les utiliser. Cependant, il y a des problèmes avec ces outils qui doivent être pris en compte à l'avenir… Notre objectif est de faire une déclaration plus large sur l'utilisation des modèles de génération de code.dit Perry. "Nous devons continuer à explorer ces problèmes et développer des techniques pour les résoudre."
De l'avis de Perry, l'introduction de vulnérabilités de sécurité n'est pas la seule faille dans les systèmes d'IA générant du code. Au moins une partie du code sur lequel le Codex a été formé est sous licence restrictive ; Les utilisateurs ont pu demander à Copilot de générer du code Quake, des extraits de code à partir de bases de code personnelles et des exemples de code de livres tels que "Mastering JavaScript" et "Think JavaScript". Certains experts juridiques ont fait valoir que Copilot pourrait mettre en danger les entreprises et les développeurs s'ils incorporaient par inadvertance des indices protégés par le droit d'auteur de l'outil dans leur logiciel de production.
La tentative de GitHub pour rectifier cela est un filtre, introduit pour la première fois sur la plate-forme Copilot en juin, qui vérifie les indices de code par rapport à leur code environnant d'environ 150 caractères par rapport au code public de GitHub et masque les indices s'il y a une correspondance ou une "quasi-coïncidence". Mais c'est une mesure imparfaite. Tim Davis, professeur d'informatique à la Texas A&M University, a découvert que l'activation du filtre amenait Copilot à produire de gros morceaux de son code protégé par le droit d'auteur, y compris tout le texte de licence et d'attribution.
"[Pour ces raisons,] nous mettons fortement en garde contre l'utilisation de ces outils comme substitut à la formation des développeurs débutants sur les bonnes pratiques de codage", a ajouté Srivastava.
