\n<\/p>\n
Un estudio reciente encuentra que los ingenieros de software que utilizan sistemas de IA generadores de c\u00f3digo tienen m\u00e1s probabilidades de causar vulnerabilidades de seguridad en las aplicaciones que desarrollan. El documento, escrito en coautor\u00eda por un equipo de investigadores afiliados a Stanford, destaca los peligros potenciales de los sistemas de generaci\u00f3n de c\u00f3digo a medida que los proveedores como GitHub comienzan a comercializarlos en serio.<\/p>\n
\u00abLos sistemas de generaci\u00f3n de c\u00f3digo actualmente no reemplazan a los desarrolladores humanos\u00bb, dijo a TechCrunch Neil Perry, candidato a doctorado en Stanford y coautor principal del estudio, en una entrevista por correo electr\u00f3nico. \u201cLos desarrolladores que los usan para completar tareas fuera de sus propias \u00e1reas de especializaci\u00f3n deber\u00edan estar preocupados, y aquellos que los usan para acelerar tareas en las que ya son expertos deben verificar cuidadosamente los resultados y el contexto en el que se usan en general. proyecto.\u00bb<\/p>\n
El estudio de Stanford analiz\u00f3 espec\u00edficamente Codex, el sistema de generaci\u00f3n de c\u00f3digo de IA desarrollado por el laboratorio de investigaci\u00f3n OpenAI con sede en San Francisco. (Codex impulsa a Copilot). Los investigadores reclutaron a 47 desarrolladores, desde estudiantes universitarios hasta profesionales de la industria con d\u00e9cadas de experiencia en programaci\u00f3n, para usar Codex para completar problemas relacionados con la seguridad en lenguajes de programaci\u00f3n, incluidos Python, JavaScript y C.<\/p>\n
Codex fue capacitado en miles de millones de l\u00edneas de c\u00f3digo p\u00fablico para sugerir l\u00edneas de c\u00f3digo y funciones adicionales dado el contexto del c\u00f3digo existente. El sistema muestra un enfoque o soluci\u00f3n de programaci\u00f3n en respuesta a una descripci\u00f3n de lo que un desarrollador quiere lograr (p. ej., \u00abDi hola mundo\u00bb), bas\u00e1ndose tanto en su base de conocimientos como en el contexto actual.<\/p>\n
Seg\u00fan los investigadores, los participantes del estudio que ten\u00edan acceso a Codex ten\u00edan m\u00e1s probabilidades de escribir soluciones incorrectas e \u00abinseguras\u00bb (en el sentido de ciberseguridad) a problemas de programaci\u00f3n en comparaci\u00f3n con un grupo de control. A\u00fan m\u00e1s preocupante, era m\u00e1s probable que dijeran que sus respuestas inseguras eran seguras en comparaci\u00f3n con las personas del control.<\/p>\n
Megha Srivastava, estudiante de posgrado en Stanford y segunda coautor del estudio, enfatiz\u00f3 que los hallazgos no son una condena completa de Codex y otros sistemas de generaci\u00f3n de c\u00f3digo. Los participantes del estudio no ten\u00edan experiencia en seguridad que les hubiera permitido detectar mejor las vulnerabilidades del c\u00f3digo, por ejemplo. Aparte de eso, Srivastava cree que los sistemas de generaci\u00f3n de c\u00f3digo son confiablemente \u00fatiles para tareas que no son de alto riesgo, como el c\u00f3digo de investigaci\u00f3n exploratoria, y podr\u00edan mejorar sus sugerencias de codificaci\u00f3n con un ajuste fino. <\/span><\/p>\n \u201cEmpresas que desarrollan sus propios [systems]quiz\u00e1s m\u00e1s capacitado en su c\u00f3digo fuente interno, puede estar mejor ya que se puede alentar al modelo a generar resultados m\u00e1s en l\u00ednea con sus pr\u00e1cticas de codificaci\u00f3n y seguridad\u201d, dijo Srivastava.<\/p>\n Entonces, \u00bfc\u00f3mo podr\u00edan los proveedores como GitHub evitar que los desarrolladores introduzcan fallas de seguridad al usar sus sistemas de IA generadores de c\u00f3digo? Los coautores tienen algunas ideas, incluido un mecanismo para \u00abrefinar\u00bb las indicaciones de los usuarios para que sean m\u00e1s seguras, similar a un supervisor que examina y revisa borradores de c\u00f3digo. Tambi\u00e9n sugieren que los desarrolladores de bibliotecas de criptograf\u00eda se aseguren de que su configuraci\u00f3n predeterminada sea segura, ya que los sistemas de generaci\u00f3n de c\u00f3digo tienden a apegarse a los valores predeterminados que no siempre est\u00e1n libres de vulnerabilidades.<\/p>\n \u201cLas herramientas de generaci\u00f3n de c\u00f3digo del asistente de IA son un desarrollo realmente emocionante y es comprensible que tantas personas est\u00e9n ansiosas por usarlas. Sin embargo, estas herramientas plantean problemas para considerar avanzar… Nuestro objetivo es hacer una declaraci\u00f3n m\u00e1s amplia sobre el uso de modelos de generaci\u00f3n de c\u00f3digo\u201d, dijo Perry. \u201cSe necesita m\u00e1s trabajo para explorar estos problemas y desarrollar t\u00e9cnicas para abordarlos\u201d.<\/p>\n Para el punto de Perry, la introducci\u00f3n de vulnerabilidades de seguridad no es el \u00fanico defecto de los sistemas de IA generadores de c\u00f3digo. Al menos una parte del c\u00f3digo en el que se capacit\u00f3 Codex est\u00e1 bajo una licencia restrictiva; los usuarios han podido solicitar a Copilot que genere c\u00f3digo de Quake, fragmentos de c\u00f3digo en bases de c\u00f3digo personales y c\u00f3digo de ejemplo de libros como \u00abMastering JavaScript\u00bb y \u00abThink JavaScript\u00bb. Algunos expertos legales han argumentado que Copilot podr\u00eda poner en riesgo a las empresas y los desarrolladores si involuntariamente incorporaran sugerencias protegidas por derechos de autor de la herramienta en su software de producci\u00f3n.<\/p>\n El intento de GitHub de rectificar esto es un filtro, introducido por primera vez en la plataforma Copilot en junio, que verifica las sugerencias de c\u00f3digo con su c\u00f3digo circundante de aproximadamente 150 caracteres contra el c\u00f3digo p\u00fablico de GitHub y oculta las sugerencias si hay una coincidencia o una \u00abcasi coincidencia\u00bb. Pero es una medida imperfecta. Tim Davis, profesor de ciencias de la computaci\u00f3n en la Universidad Texas A&M, descubri\u00f3 que al habilitar el filtro, Copilot emit\u00eda grandes fragmentos de su c\u00f3digo protegido por derechos de autor, incluidos todos los textos de atribuci\u00f3n y licencia.<\/p>\n \u201c[For these reasons,] En gran medida, expresamos cautela hacia el uso de estas herramientas para reemplazar la educaci\u00f3n de los desarrolladores principiantes sobre pr\u00e1cticas de codificaci\u00f3n s\u00f3lidas\u201d, agreg\u00f3 Srivastava.<\/p>\n<\/p><\/div>\n