Специалисты рассказали о крытых рисках, которые возникают при создании сайт с помощью ИИ
Создание веб-сайтов с помощью искусственного интеллекта (ИИ) становится всё более популярным благодаря доступности инструментов, не требующих глубоких технических знаний. Платформы позволяют пользователям создавать сайты и приложения с минимальными навыками программирования. Профессиональные разработчики также используют ИИ-ассистентов для повышения производительности. Однако, несмотря на очевидные преимущества, использование ИИ в веб-разработке сопряжено с рядом скрытых рисков, которые необходимо учитывать.
1. Уязвимости в сгенерированном коде
ИИ-инструменты способны генерировать код на основе заданных параметров, но это не гарантирует его безопасность. Сгенерированный код может содержать уязвимости, которые не очевидны на первый взгляд. Например, прошлогоднее исследование, проведённое Корнельским университетом, показало, что из 452 реальных фрагментов кода, сгенерированных GitHub Copilot, 32,8% Python- и 24,5% JavaScript-фрагментов содержали распространённые уязвимости. Это подчёркивает необходимость тщательной проверки и тестирования кода, созданного с помощью ИИ.
2. Использование устаревших или уязвимых библиотек
ИИ-модели обучаются на больших объёмах данных, но их знания ограничены моментом завершения обучения. Это означает, что ИИ может предлагать использовать устаревшие или уязвимые библиотеки. Например, при запросе на создание веб-сайта с использованием React, ИИ может сгенерировать код с применением старой версии React, которая уже не рекомендуется к использованию из-за известных уязвимостей. Чтобы минимизировать этот риск, рекомендуется предоставлять ИИ актуальную документацию и чётко указывать требования к используемым библиотекам.
3. Отсутствие шифрования и других механизмов безопасности
Сгенерированный ИИ код может не включать необходимые механизмы безопасности, такие как шифрование данных. Это особенно актуально при генерации инфраструктурного кода, где отсутствие надлежащих мер безопасности может привести к утечке данных или другим инцидентам. Поскольку такие механизмы требуют глубоких знаний, ИИ может не иметь достаточных данных для их корректной реализации. Поэтому важно, чтобы специалисты по безопасности проверяли и дополняли сгенерированный код необходимыми мерами защиты.
4. Массовое распространение уязвимостей
Платформы без кода или с минимальным кодом позволяют создавать множество веб-сайтов на основе одного и того же фреймворка. Если в сгенерированном ИИ коде присутствует уязвимость, она может распространиться на все эти сайты, подвергая риску их владельцев и пользователей. Люди без технического образования могут не осознавать наличие таких уязвимостей и не знать, как их исправить, что увеличивает вероятность их длительного существования и эксплуатации злоумышленниками.
5. Галлюцинации ИИ и генерация некорректного кода
ИИ может генерировать код, который выглядит корректно, но содержит логические ошибки или не соответствует поставленной задаче. Это явление известно как «галлюцинации ИИ». Использование такого кода без должной проверки может привести к сбоям в работе приложения или созданию дополнительных уязвимостей. Поэтому необходимо тщательно тестировать и проверять сгенерированный ИИ код перед его внедрением в продуктивную среду.
6. Нарушение лицензионных соглашений
ИИ-модели обучаются на больших наборах данных, которые могут включать код с различными лицензиями. Сгенерированный ИИ код может непреднамеренно нарушать лицензионные соглашения, что может привести к юридическим последствиям. Важно отслеживать происхождение и лицензионный статус сгенерированного кода, чтобы избежать нарушений интеллектуальной собственности.
7. Снижение квалификации разработчиков
Чрезмерное использование ИИ-ассистентов может привести к снижению навыков и компетенций у разработчиков. Полагание на ИИ при написании кода без понимания его работы может негативно сказаться на способности решать сложные задачи и разбираться в деталях реализации. Это особенно опасно в долгосрочной перспективе, так как может привести к дефициту квалифицированных специалистов.
По материалам lead-bro.ru