لوگو کارینا وب
لوگو کارینا وب
تماس با ما

دستیارهای کدنویسی هوش مصنوعی، تحویل پروژه را تسریع می‌کنند اما ریسک امنیتی را افزایش می‌دهند

گزارش‌های جدید نشان می‌دهند که اگرچه استفاده از دستیارهای هوش مصنوعی در کدنویسی باعث افزایش چشمگیر بهره‌وری شده، اما همزمان سطح ریسک‌های امنیتی در پروژه‌های نرم‌افزاری نیز به‌طور نگران‌کننده‌ای بالا رفته است. به‌ویژه در شرکت‌های بزرگ، تغییرات گسترده‌تر در کد و کاهش بازبینی‌ها، منجر به افزایش ده برابری آسیب‌پذیری‌ها شده است.

فهرست مطالعه سریع:

با وجود رشد چشمگیر استفاده از دستیارهای کدنویسی مبتنی بر هوش مصنوعی در شرکت‌های بزرگ، داده‌های جدید نشان می‌دهد که این ابزارها در کنار افزایش بهره‌وری، ریسک‌های امنیتی پیچیده‌تری را وارد فرآیند توسعه کرده‌اند.

در حالی که مدیران عامل شرکت‌هایی مانند Coinbase، Lemonade و Citi، استفاده از هوش مصنوعی را برای توسعه‌دهندگان اجباری کرده‌اند، بررسی‌ها نشان می‌دهد که افزایش سرعت توسعه به بهای امنیت تمام می‌شود. برای نمونه، برایان آرمسترانگ، مدیرعامل Coinbase، از مهندسان خواست تا به‌اجبار از ابزارهای هوش مصنوعی استفاده کنند، حتی اگر برخی از آن‌ها به همین دلیل از کار برکنار شدند.

بررسی تازه‌ای از سوی شرکت Apiiro، که به تحلیل مخازن کد در سازمان‌های بزرگ Fortune 50 پرداخته، نشان می‌دهد که ابزارهایی که می‌توانند سرعت تولید کد را تا ۴ برابر افزایش دهند، منجر به ۱۰ برابر شدن مشکلات امنیتی نیز شده‌اند.

چگونه رفتار توسعه‌دهندگان با استفاده از هوش مصنوعی تغییر می‌کند؟

مطالعه Apiiro که با استفاده از موتور اختصاصی تحلیل عمیق کد این شرکت انجام شده، نشان می‌دهد که توسعه‌دهندگان با کمک دستیارهای هوش مصنوعی، ۳ تا ۴ برابر بیشتر از دیگران commit می‌زنند. اما این commitها در تعداد کمتری از pull requestها ادغام می‌شوند که باعث می‌شود هر تغییر شامل فایل‌ها و سرویس‌های متعددی باشد. این رویکرد باعث می‌شود شانس بروز اشکالات پنهان افزایش یافته و فرآیند بازبینی کد با چالش بیشتری روبه‌رو شود.

در یک نمونه واقعی، تغییر یک هدر احراز هویت توسط دستیار AI در چندین سرویس، باعث شد یکی از سرویس‌های پایین‌دستی بدون به‌روزرسانی باقی بماند و در نتیجه، یک خطای بی‌صدا در احراز هویت ایجاد شود که می‌توانست منجر به افشای نقاط پایانی داخلی شود.

افزایش آسیب‌پذیری با کاهش بررسی کد

مطابق داده‌های Apiiro، در تیم‌هایی که از AI استفاده می‌کردند، در حالی که تعداد pull requestها نزدیک به ۳۰٪ کاهش یافته، تعداد آسیب‌پذیری‌های شناسایی‌شده ۱۰ برابر بیشتر شده است. این موضوع فشار زیادی بر فرآیند بازبینی وارد می‌کند و منجر به افزایش انتشار تغییرات آسیب‌پذیر در شاخه اصلی پروژه‌ها می‌شود.

بررسی‌ها نشان می‌دهد که تا ژوئن ۲۰۲۵، بیش از ۱۰هزار آسیب‌پذیری جدید در ماه، مستقیماً ناشی از کد تولیدشده توسط AI بوده که نسبت به دسامبر ۲۰۲۴، ده برابر رشد داشته است.

نوع این نقص‌ها نیز نگران‌کننده است: از مشکلات در وابستگی‌ها و الگوهای کدنویسی ناامن گرفته تا افشای کلیدها و پیکربندی‌های اشتباه در فضای ابری.

پیشرفت در سطح، خطر در عمق

هرچند هوش مصنوعی توانسته خطاهای ساده مانند اشتباهات نحوی را تا ۷۶٪ و باگ‌های منطقی را بیش از ۶۰٪ کاهش دهد، اما هم‌زمان، خطرات معماری و سیستماتیک رشد چشمگیری داشته‌اند. مسیرهای افزایش سطح دسترسی (Privilege Escalation) تا ۳۲۲٪ و نقص‌های طراحی معماری تا ۱۵۳٪ افزایش یافته‌اند.

یکی دیگر از نگرانی‌های مهم، افشای کلیدها و اطلاعات محرمانه است. توسعه‌دهندگان با کمک AI، تقریباً دو برابر بیشتر از دیگران، اطلاعات حساس مانند Azure Service Principals و Storage Access Keys را افشا کرده‌اند.

از آنجا که دستیارهای AI می‌توانند تغییرات چندفایلی هماهنگ ایجاد کنند، یک خطای ساده ممکن است در چندین فایل و سرویس تکرار شود و شناسایی آن سخت‌تر گردد.

چرا فرآیند بازبینی در حال فروپاشی است؟

رویکرد سنتی بازبینی کد بر پایه pull requestهای کوچک و متمرکز بنا شده است. اما AI باعث می‌شود تغییرات بزرگ‌تری با سرعت بیشتر وارد سیستم شوند. این موضوع تمرکز بازبین‌ها را کاهش داده و احتمال خطا را بالا می‌برد.

در یک تغییر کوچک، یک اشتباه ممکن است بی‌خطر باشد یا به‌راحتی برگردانده شود. اما در یک تغییر وسیع بین سرویس‌ها، همان اشتباه می‌تواند مسیرهای حیاتی را بشکند و زمان بازیابی را به شدت افزایش دهد.

پیام برای رهبران سازمانی روشن است: اگر از دستیارهای کدنویسی AI برای بهره‌وری استفاده می‌کنید، باید ابزارهای امنیتی مبتنی بر AI نیز در همان سطح برای کنترل ریسک‌ها به‌کار گرفته شوند. طبق گزارش Apiiro، ابزارهای معمولی اسکن کد برای شناسایی این نوع مشکلات پیچیده کافی نیستند.

برایان آرمسترانگ در پستی در شبکه‌های اجتماعی نوشت:

“۴۰٪ از کدی که روزانه در Coinbase نوشته می‌شود توسط AI تولید می‌شود. می‌خواهم این عدد تا اکتبر به بالای ۵۰٪ برسد. البته این کدها باید بررسی و درک شوند، و در همه بخش‌ها نمی‌توان از آن‌ها استفاده کرد. اما باید تا جایی که ممکن است، مسئولانه از آن بهره ببریم.”

جمع‌بندی

صنعت نرم‌افزار اکنون وارد مرحله‌ای شده که نوآوری در کدنویسی با هوش مصنوعی، به بخشی جدایی‌ناپذیر از فرآیند توسعه تبدیل شده است. اما همان‌طور که داده‌ها نشان می‌دهند، این پیشرفت‌ها بدون هزینه نیست. کاهش خطاهای سطحی و افزایش سرعت تحویل پروژه‌ در مقابل افزایش ریسک‌های امنیتی معماری و بین‌سرویسی قرار گرفته‌اند.

در نهایت، مزایا و معایب این ابزارها باید با هم و به‌طور جدی مورد توجه قرار گیرند. در غیر این صورت، با افزایش حوادث و نشت‌های اطلاعاتی بزرگ‌تری مواجه خواهیم شد.

منبع: developer-tech.com

تصویر کارینا وب
کارینا وب

ما اینجا براتون روی بهترین آموزش ها، مقالات و اخبار بروز دیجیتال مارکتینگ، سئو SEO سایت، هوش مصنوعی و کدنویسی و شبکه و امنیت سایبری کار میکنیم. تا با هم رشد کنیم :) سوال یا انتقادی داشتین کامنت بزارین همین زیر چون قول میدیم که سریع بخونیم و جواب بدیم :))

دیگر مقالات و اخبار

اسفند 27, 1404 بدون دیدگاه

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *