Assim como você Provavelmente não cresça e tritura o trigo para fazer farinha para o seu pão, a maioria dos desenvolvedores de software não escreve todas as linhas de código em um novo projeto do zero. Fazer isso seria extremamente lento e poderia criar mais problemas de segurança do que resolve. Portanto, os desenvolvedores se baseiam nas bibliotecas existentes – geralmente projetos de código aberto – para obter vários componentes básicos de software em vigor.
Embora essa abordagem seja eficiente, ela pode criar exposição e falta de visibilidade no software. Cada vez mais, no entanto, A ascensão da codificação da vibração está sendo usado de maneira semelhante, permitindo que os desenvolvedores Código de rotação rapidamente que eles podem simplesmente se adaptar em vez de escrever do zero. Os pesquisadores de segurança alertam, no entanto, que esse novo gênero de código plug-and-play está tornando a segurança da cadeia de software ainda mais complicada-e perigosa.
“Estamos atingindo o ponto agora em que a IA está prestes a perder seu período de carência sobre segurança”, diz Alex Zenla, diretor de tecnologia da empresa de segurança em nuvem Edera. “E a IA é seu pior inimigo em termos de geração de código inseguro. Se a IA estiver sendo treinada em parte em software antigo, vulnerável ou de baixa qualidade que está disponível por aí, todas as vulnerabilidades que existiram podem voltar e ser apresentadas novamente, para não mencionar novas questões.
Além de sugar dados de treinamento potencialmente inseguros, a realidade da codificação da vibração é que ele produz um rascunho aproximado de código que pode não levar totalmente em consideração todo o contexto e considerações específicos em torno de um determinado produto ou serviço. Em outras palavras, mesmo que uma empresa treine um modelo local no código -fonte de um projeto e uma descrição da linguagem natural das metas, o processo de produção ainda está dependendo da capacidade dos revisores humanos de identificar toda e qualquer falha ou incongruência possível no código originalmente gerado pela IA.
“Os grupos de engenharia precisam pensar no ciclo de vida do desenvolvimento na era da codificação da vibração”, diz Eran Kinsbruner, pesquisador da empresa de segurança de aplicativos Checkmarx. “Se você pedir exatamente o mesmo modelo LLM para escrever para o seu código -fonte específico, toda vez que ele terá uma saída ligeiramente diferente. Um desenvolvedor dentro da equipe gerará uma saída e o outro desenvolvedor obterá uma saída diferente. Para introduzir uma complicação adicional além de código aberto.”
Em um checkmarx enquete Dos diretores de segurança da informação, gerentes de segurança de aplicativos e chefes de desenvolvimento, um terço dos entrevistados disseram que mais de 60 % do código de sua organização foi gerado pela IA em 2024. Mas apenas 18 % dos entrevistados disseram que sua organização possui uma lista de ferramentas aprovadas para codificação de vibração. Checkmarx pesquisou milhares de profissionais e publicou as descobertas em agosto – enfatizando também que o desenvolvimento da IA está dificultando mais difícil de rastrear a “propriedade” do código.
