- Sicherheitsprobleme
- Das US-Cybersicherheitsunternehmen Snyk befragte 537 Mitglieder und Führungskräfte aus Software-Engineering- und Sicherheitsteams
- 91,6 % der Befragten: „AI-Coding-Tools haben gelegentlich unsichere Code-Vorschläge erzeugt“
- 80 % der Befragten: „Entwickler in der Organisation umgehen AI-Sicherheitsrichtlinien“
- 25 % der Befragten: „Wir verwenden automatisierte Scanning-Tools, um die Sicherheit von Open-Source-Komponenten in AI-Code-Vorschlägen zu prüfen“
- Nur wenige ergreifen angemessene Maßnahmen, um sicherzustellen, dass Open-Source-Bibliotheken sicher sind
- Laut Snyk erzeugt GitHubs Copilot Code-Snippets, indem es Muster und Strukturen aus bestehenden Code-Repositories lernt
- Dabei kann der Code bestehende Sicherheitslücken oder fehlerhafte Praktiken aus benachbarten Dateien übernehmen
- Es sind automatisierte Sicherheitsprüfungen und Code-Audits nötig, um sicherheitskritischen Code zu finden, und die Sicherheit von AI-Tools zur Code-Erzeugung muss überprüft werden
- Probleme mit der Codequalität
- Darauf weist Bernd Greifeneder hin, Gründer und CTO des US-Observability-Unternehmens Dynatrace
- AI wurde bislang mit von Menschen kuratierten hochwertigen Quellen wie Stack Overflow trainiert
- Wenn Entwickler künftig häufiger AI-generierten Code verwenden, könnte die Motivation sinken, solche Seiten zu aktualisieren
- Dass Entwickler Code-Snippets kopieren, einfügen und so die Deployment-Geschwindigkeit erhöhen, gilt als schlechte Praxis
- Das verschlechtert die Wartbarkeit und erhöht das Risiko, dass Fehler oder Schwachstellen vervielfältigt oder übersehen werden
- Tools zur Code-Erzeugung mit AI automatisieren diesen Copy-and-Paste-Prozess mit hoher Geschwindigkeit
- Organisationen müssen von AI erzeugten Code sorgfältig analysieren und testen sowie Entwicklungspraktiken stärken, die Qualitäts- und Sicherheitsstandards einhalten
- Auf AI-generierten Code sollten die Prinzipien von „Clean Code“ angewendet werden
- Um die Codequalität sicherzustellen, sind Tests und Analysen nötig, damit Clean Code auch in der endgültigen Implementierung von AI-generiertem Code umgesetzt wird
- Urheberrechtsprobleme
- Tools wie Copilot erstellen Code durch Refactoring von Eingabecode
- Solche Tools könnten mit Urheberrechts- und Open-Source-Lizenzproblemen konfrontiert sein, die aus den für das Training des AI-Modells verwendeten Trainingsdaten und dem vom trainierten Modell erzeugten Ausgabecode entstehen
- Analyse der globalen Kanzlei Finnegan:
- Tools zur Code-Erzeugung mit AI empfehlen Kopien des Codes, der zum Training des zugrunde liegenden AI-Modells verwendet wurde
- Auch GitHub räumt ein, dass „von Copilot erzeugter Code mitunter öffentlich verfügbaren Open-Source-Code zitiert, auf dem es trainiert wurde“
- Laut einer internen Untersuchung von GitHub ist die Wahrscheinlichkeit mit 1 % äußerst gering, aber Copilot kann Code erzeugen, der einige Codeblöcke enthält, die exakt mit Trainingscode übereinstimmen
- Die Lizenzen von Open-Source-Code können auch auf Code anwendbar sein, der mit Copilot entwickelt wurde
- Wenn Code mit Open-Source-Lizenzbedingungen wiederholt in mit AI-Tools zur Code-Erzeugung erstelltem Code verwendet wird, kann seine Nutzung eine Urheberrechtsverletzung darstellen, wenn dabei Open-Source-Lizenzbedingungen wie Namensnennung oder Weitergabe nicht eingehalten werden
- Wegen mangelnder Rückverfolgbarkeit des von AI-Tools zur Code-Erzeugung vorgeschlagenen Codes gibt es keine unmittelbare Möglichkeit festzustellen, ob „der generierte Code wiederverwendeten Code enthält, der gegen die ursprünglichen Open-Source-Lizenzbedingungen verstoßen könnte“
- Von AI erzeugter Code sollte manuell überprüft werden, um bekannte und weit verbreitete Codefragmente zu erkennen
- Mit Code-Scanning-Tools sollte geprüft werden, ob Open-Source-lizenzierter Code enthalten ist
Noch keine Kommentare.