A Stanford Egyetem friss tanulmánya szerint a kódgeneráló mesterségesintelligencia-rendszereket használó szoftvermérnökök nagyobb valószínűséggel okoznak biztonsági problémákat az általuk fejlesztett alkalmazásokban, mintha MI nélkül dolgoznának. A potenciális buktatókra pont akkor hívták fel a figyelmet, amikor egyes gyártók, például a GitHub gőzerővel kezdte marketingelni ezeket a rendszereket.

Egyelőre nem helyettesíthetik a humán fejlesztőket – figyelmeztet a tanulmány. Az azokat szakterületükön kívüli dolgokra, illetve a munkájuk felgyorsítására használó mérnököknek mindig alaposan ellenőrizniük kellene az outputot, és hogy az MI kódgenerálót milyen környezetben használták.

A tanulmány külön figyelmet szentelt az OpenAI Codexének. Negyvenhét fejlesztőt kértek fel a használatára, Pythonban, JavaScriptben és C-ben kellett megoldaniuk biztonsági problémákat. Kiderült, hogy az MI-t nem használó kontrollcsoporttal összehasonlítva, a Codex-szel dolgozók gyakran írtak pontatlan vagy nem biztonságos megoldásokat, ráadásul biztosabbak voltak, hogy nem biztonságos javaslatuk biztonságosabb volt a kontrollcsoport egyébként biztonságos opciójánál.

Az eredményekkel a stanfordi kutatók nem akartak pálcát törni a Codex és a többi MI-s kódgeneráló felett, hanem a gyenge pontjaikra akartak figyelmeztetni. Ezek a technológiák egyébként biztonságosak a nagy kockázattal nem járó munkákhoz, plusz finomhangolhatók is – emelték ki.

A GitHubnak és más eladóknak azt tanácsolják, hogy találjanak ki a promptokat jobban pontosító megoldásokat, a titkosítási könyvtárakkal dolgozó mérnökök pedig bizonyosodjanak meg alapbeállításaik biztonságáról, ami azért fontos, mert a kódgeneráló rendszerek általában ragaszkodnak ezekhez a beállításokhoz.

A tanulmány szerzői elismerek, hogy az MI segítségével történő kódgenerálás valóban érdekes, hasznos, és sokakat hoz izgalomba, ugyanakkor nem árt, ha mindenki tisztában van a hiányosságokkal. Sok munkára van még szükség a problémák feltárásához, és az azokat megoldó technikák kidolgozásához.

Kezdő fejlesztők oktatásához viszont nem ajánlják ezeket az eszközöket, mert at MI egyelőre nem helyettesítheti a masszív kódolási gyakorlatot.