Estamos na era da codificação por vibrações, permitindo que modelos de inteligência artificial gerem código com base no prompt de um desenvolvedor. Infelizmente, por trás das cenas, as vibrações são ruins. De acordo com um relatório recente publicado pela empresa de segurança de dados Veracode, cerca de metade de todo código gerado por IA contém falhas de segurança.
A Veracode desafiou mais de 100 modelos de linguagem de grande porte a completar 80 tarefas de codificação separadas, desde o uso de diferentes linguagens de programação até a construção de diferentes tipos de aplicativos. Segundo o relatório, cada tarefa tinha vulnerabilidades potenciais conhecidas, o que significa que os modelos poderiam completar cada desafio de maneira segura ou insegura. Os resultados não foram exatamente inspiradores se a segurança é sua principal prioridade, com apenas 55% das tarefas completadas gerando código “seguro”.
Agora, seria uma coisa se essas vulnerabilidades fossem pequenos erros que poderiam ser facilmente corrigidos ou mitigados. Mas muitas vezes são buracos bastante significativos. Os 45% do código que falhou na verificação de segurança produziram uma vulnerabilidade que fazia parte das 10 principais vulnerabilidades de segurança do Open Worldwide Application Security Project – problemas como controle de acesso quebrado, falhas criptográficas e falhas de integridade de dados. Basicamente, a saída tem problemas grandes o suficiente que você não gostaria de simplesmente ativá-la e colocá-la em produção, a menos que esteja procurando ser hackeado.
Talvez a descoberta mais interessante do estudo, no entanto, não seja simplesmente que os modelos de IA estão regularmente produzindo código inseguro. É que os modelos parecem não estar melhorando. Embora a sintaxe tenha melhorado significativamente nos últimos dois anos, com LLMs produzindo código compilável quase o tempo todo agora, a segurança desse código permaneceu basicamente estável durante todo esse tempo. Mesmo modelos mais novos e maiores estão falhando em gerar código significativamente mais seguro.
O fato de que a linha de base de saída segura para código gerado por IA não está melhorando é um problema, porque o uso de IA na programação está se tornando mais popular, e a superfície de ataque está aumentando. No início deste mês, a 404 Media relatou como um hacker conseguiu fazer com que o agente de codificação da Amazon deletasse os arquivos dos computadores em que foi usado, injetando código malicioso com instruções ocultas no repositório do GitHub para a ferramenta.
Enquanto isso, à medida que os agentes de IA se tornam mais comuns, também se tornam mais comuns os agentes capazes de quebrar o mesmo código. Pesquisas recentes da Universidade da Califórnia, Berkeley, descobriram que modelos de IA estão se tornando muito bons em identificar bugs exploráveis no código. Portanto, modelos de IA estão gerando consistentemente código inseguro, e outros modelos de IA estão se tornando realmente bons em detectar essas vulnerabilidades e explorá-las. Isso provavelmente está tudo bem.