Nghiên cứu mới đây cho thấy mã code được hỗ trợ bởi AI có thể không an toàn. Do đó, các lập trình viên phải được đào tạo bài bản mới phát hiện được.
Các thuật toán học máy đang rất thịnh hành, vì chúng được sử dụng để tạo ra bất kỳ loại nội dung “gốc – original” nào sau khi được đào tạo trên các tập dữ liệu khổng lồ có sẵn. Tuy nhiên, AI tạo mã có thể đặt ra một vấn đề thực sự đối với bảo mật phần mềm trong tương lai.
Các hệ thống AI như GitHub Copilot hứa hẹn sẽ giúp cuộc sống của các lập trình viên trở nên dễ dàng hơn bằng cách tạo toàn bộ các đoạn mã “mới” dựa trên các đầu vào văn bản ngôn ngữ tự nhiên và ngữ cảnh có sẵn. Nhưng các thuật toán tạo mã cũng có thể mang lại yếu tố không an toàn, như một nghiên cứu mới liên quan đến một số nhà phát triển gần đây đã phát hiện ra.
Nhìn cụ thể vào Codex, nền tảng AI do OpenAI phát triển, cũng là công cụ tạo mã của GitHub Copilot đã nói ở trên, nghiên cứu đã tuyển dụng 47 nhà phát triển khác nhau. Từ sinh viên đại học đến các chuyên gia có kinh nghiệm, các nhà phát triển cho biết được giao nhiệm vụ sử dụng Codex để giải quyết các vấn đề liên quan đến bảo mật bằng Python, JavaScript, C và các ngôn ngữ lập trình cấp cao khác.
Các nhà nghiên cứu cho biết khi các lập trình viên có quyền truy cập vào Codex AI, mã kết quả có nhiều khả năng không chính xác hoặc không an toàn so với các giải pháp “thủ công” do nhóm kiểm soát nghĩ ra. Hơn nữa, các lập trình viên có giải pháp hỗ trợ AI có nhiều khả năng nói rằng mã không an toàn của họ an toàn hơn so với nhóm kiểm soát nói trên.
Neil Perry, ứng cử viên tiến sĩ tại Stanford và là đồng tác giả chính của nghiên cứu, nói rằng “các hệ thống tạo mã hiện không phải là sự thay thế cho các nhà phát triển con người.” Các nhà phát triển cho biết có thể đang sử dụng các công cụ hỗ trợ AI để hoàn thành các nhiệm vụ nằm ngoài lĩnh vực chuyên môn của họ hoặc để tăng tốc một nhiệm vụ lập trình mà họ đã thành thạo. Cả hai bên nên quan tâm, tác giả nghiên cứu cho biết và họ nên luôn kiểm tra kỹ mã được tạo.
Theo Megha Srivastava, một sinh viên sau đại học của Stanford và là đồng tác giả thứ hai của nghiên cứu, Codex hoàn toàn vô dụng: bất chấp những thiếu sót của AI “ngu ngốc”, các hệ thống tạo mã có thể hữu ích khi được sử dụng cho các nhiệm vụ rủi ro thấp. Hơn nữa, các lập trình viên tham gia vào nghiên cứu không có chuyên môn cụ thể về các vấn đề bảo mật, điều này có thể giúp phát hiện mã dễ bị tổn thương hoặc không an toàn, Srivastava nói.
Các thuật toán AI cũng có thể được tinh chỉnh để cải thiện các đề xuất mã hóa của chúng và các công ty phát triển hệ thống của riêng họ có thể nhận được các giải pháp tốt hơn với mô hình tạo mã phù hợp hơn với các phương pháp bảo mật của riêng họ. Các tác giả nghiên cứu cho biết công nghệ tạo mã là một sự phát triển “thú vị” với nhiều người háo hức sử dụng nó. Chỉ là vẫn còn rất nhiều việc phải làm để tìm ra giải pháp thích hợp cho những thiếu sót của AI.