В 4 раза быстрее, в 10 раз больше уязвимостей: Apiiro оценила эффекты помощников для написания кода

Израильская Apiiro представила отчёт о трендах кода от ИИ. На основе богатого набора данных о том, как разработчики пишут код, компания утверждает: из-за ИИ производительность выросла, но безопасность страдает.

Apiiro — вендор безопасности приложений. Основной продукт компании покрывает сферу application security posture management, управления состоянием безопасности приложений. Платформа объединяет сигналы безопасности от кода до облака, приоритизирует риски и помогает устранять их. Если упрощать, Apiiro предоставляет агент для AppSec на основе искусственного интеллекта. Компанию основали в 2019 году Идан Плотник и Йонатан Эльдар, выпускники киберподразделения армии обороны Израиля.

Как игрок в сфере безопасности приложений и ASPM, компания Apiiro иногда публикует исследования безопасности. Публикации компании хорошо расходятся по СМИ. Отчёты Apiiro подсчитывают заражённые репозитории GitHub и оценивают риски кода от ИИ.

На самом деле искусственный интеллект небезопасен не просто из-за качества ответов. Lasso Security продемонстрировала, что через Copilot возможно вытягивать куски кода из когда-то публичных, а позднее приватных репозиториев. Про практический эксплоит ассистентов для написания кода писал Кевин Хиггс. Бэкдор файла правил, атака на Microsoft Copilot, общие опасения утечки данных — про это на Хабре говорилось немало.

Также часто критике подвергается сам код от генеративного искусственного интеллекта. Ещё в 2021 году исследователи Нью-Йоркского университета указали, что Copilot генерирует код с ошибками и уязвимостями в 40 % случев. К схожему выводу приходят в Стэнфорде. В 2024 году компания GitClear проанализировала 153 млн строк кода из GitHub и заявила об обнаружении негативных тенденций. Как показали в