當前程式碼產生器能夠加速專案開發的速度,因此成為市場上趨之若鶩的程式開發利器。根據史丹佛大學(Stanford University)針對 Open AI 旗下 Codex 人工智慧程式碼產生器的最新研究指出,雖然 Codex 之類的工具的確對風險不高的專案任務開發非常有幫助,而且還可透過微調來改進編碼,但由於大部分開發人員缺乏能糾舉程式碼漏洞的安全專業知識,所以透過方便的程式碼產生器所開發的應用程式,極有可能存在安全漏洞。
史丹佛大學研究人員在研究 Codex 的專案中,招募了 47 名包括大學本科生和具備數十年程式設計經驗在內的開發人員,然後再對這些開發人員透過 Codex 自動產生 Python、JavaScript 及 C 等不同程式設計語言的程式碼進行安全性研究。
結果研究人員在與對照組比較後發現,參與專案的開發人員使用 Codex 更有可能寫出不正確和不安全的程式碼與 App。更令人擔憂的是,面對 Codex 寫出的不安全程式碼,他們竟普遍認為很安全。當然,這多少也突顯出當前開發人員普遍存在欠缺安全意識與專業知識的問題與狀況。
該研究團隊建議 OpenAI 及 GitHub(和 OpenAI 合推 Copilot)等 AI 程式碼產生器供應商可以建立一種改進使用者之輸入提示以達到更安全的機制,例如建立類似以最高權限管理者檢查並修改程式碼初稿的機制。此外,加密函式庫開發人員應確保其預設設定是安全的,因為程式碼產生器傾向採用預設值,但這些預設值並非絕對不會有安全漏洞疑慮。
除了安全漏洞之外,AI 程式碼產生器的缺點還包括侵權風險的可能,用來訓練 Codex 的程式碼,至少有一部分是基於限制性授權進行的。Codex 使用者已經從《雷神之錘》(Quake)、個人程式碼庫中的程式碼片段,甚至《精通JavaScript》(Masterfing JavaScript)及《思索JavaScript》(Think JavaScript)等書中的範例程式碼來產生程式碼。法律專家認為,如果企業和開發人員在不知情的情況下將該工具上受版權保護的推薦整合到其產品軟體中的話,那麼 Copilot 可能會讓他們面臨侵權風險。
由此可見,目前 AI 程式碼產生器仍無法取代人類開發人員,對於使用這類工具來完成自己專業領域之外的開發人員來說,尤其需要注意安全與侵權的可能風險。即使是用這些工具來加快自己擅長領域之專案任務開發的人來說,仍需仔細檢查所產生輸出的程式碼有無安全疑慮。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
