Báo cáo: Đảm bảo an toàn/an ninh khi sử dụng trợ lý viết mã nguồn - ứng dụng (coding assistant) - MyGPT

Báo cáo Bảo mật Báo cáo: Đảm bảo an toàn/an ninh khi sử dụng trợ lý viết mã nguồn – ứng dụng (coding assistant)
  • Tháng Mười 10, 2024

Cơ quan An ninh mạng Pháp 🇫🇷 và Văn phòng Liên bang Đức về An ninh Thông tin 🇩🇪 đã công bố các khuyến nghị về việc sử dụng an toàn các trợ lý mã hóa AI, và đây là một tài liệu rất đáng đọc cho tất cả mọi người trong lĩnh vực AI. Tóm tắt nhanh:

Cơ hội

“Các trợ lý mã hóa AI có thể được sử dụng ở nhiều giai đoạn khác nhau trong quá trình phát triển phần mềm. Mặc dù việc tạo mã nguồn là chức năng chính, các hệ thống AI dựa trên mô hình ngôn ngữ lớn (LLM) này cũng có thể giúp các nhà phát triển làm quen với các dự án mới bằng cách cung cấp giải thích mã. Hơn nữa, trợ lý mã hóa AI có thể hỗ trợ quá trình phát triển mã bằng cách tự động tạo các trường hợp thử nghiệm và giảm bớt gánh nặng của các bước định dạng và tài liệu mã. Chức năng dịch giữa các ngôn ngữ lập trình có thể đơn giản hóa các nỗ lực bảo trì bằng cách dịch mã cũ sang các ngôn ngữ lập trình hiện đại. Ngoài ra, tính chất hỗ trợ của công nghệ này có thể giúp tăng sự hài lòng của nhân viên.”

Rủi ro

“Một vấn đề quan trọng là thông tin nhạy cảm có thể bị rò rỉ thông qua các đầu vào của người dùng tùy thuộc vào điều kiện hợp đồng của nhà cung cấp. Hơn nữa, các trợ lý mã hóa AI thế hệ hiện tại không thể đảm bảo tạo ra mã nguồn chất lượng cao. Kết quả có sự biến thiên lớn về chất lượng tùy thuộc vào ngôn ngữ lập trình và nhiệm vụ mã hóa. Các hạn chế tương tự cũng có thể được quan sát đối với tính bảo mật của mã nguồn được tạo ra. Các lỗi bảo mật từ nhẹ đến nghiêm trọng thường xuất hiện trong các đoạn mã được cung cấp bởi AI. Ngoài ra, việc sử dụng các hệ thống AI dựa trên mô hình ngôn ngữ lớn (LLM) trong quá trình phát triển phần mềm cho phép xuất hiện các phương thức tấn công mới mà các tác nhân độc hại có thể lợi dụng. Những phương thức tấn công này bao gồm tấn công nhầm lẫn gói thông qua ảo giác gói, các cuộc tấn công tiêm lệnh gián tiếp và tấn công bằng cách đầu độc dữ liệu.”

Khuyến nghị

“➵ Các trợ lý mã hóa AI không thể thay thế các nhà phát triển có kinh nghiệm. Việc sử dụng công cụ này một cách không kiểm soát có thể dẫn đến những hậu quả nghiêm trọng về bảo mật.
➵ Cần thực hiện phân tích rủi ro có hệ thống trước khi triển khai các công cụ AI (bao gồm đánh giá độ tin cậy của nhà cung cấp và các bên thứ ba liên quan).
➵ Mức tăng năng suất của các nhóm phát triển cần được bù đắp bằng các biện pháp mở rộng thích hợp trong các nhóm đảm bảo chất lượng (AppSec, DevSecOps).
➵ Mã nguồn được tạo ra nên được các nhà phát triển kiểm tra và tái tạo lại.”

ANSSI_BSI_AI_Coding_Assistants

Tải toàn văn tại đây
Chat Button
MyGPT GenAI Chatbot ×