Kto jest odpowiedzialny za kod wygenerowany przez AI: przegląd raportu Veracode 2025

Sztuczna inteligencja (AI) radykalnie zmienia krajobraz tworzenia oprogramowania. Narzędzia oparte na dużych modelach językowych (LLM) pozwalają deweloperom generować kod na podstawie prostych poleceń tekstowych, co znacznie przyspiesza proces pracy. Ale czy ta prędkość wprowadza niedopuszczalne ryzyko? Veracode, światowy lider w dziedzinie bezpieczeństwa aplikacji, przeprowadził dogłębne badania, aby odpowiedzieć na to kluczowe pytanie dla dzisiejszych liderów technologicznych.

Wyniki opublikowane w raporcie "2025 GenAI Code Security Report" są jednoznaczne: średnio 45% kodu stworzonego za pomocą LLM zawiera luki w zabezpieczeniach. Ta statystyka stanowi znaczącą nową powierzchnię ataku dla organizacji.

Główny problem: AI uczy się na niezabezpieczonych przykładach

Głównym powodem tak wysokiego wskaźnika błędów jest to, że duże modele językowe uczą się na ogromnych zbiorach danych, w tym na miliardach linii kodu z repozytoriów open-source. Znaczna część tych danych treningowych sama w sobie nie jest bezpieczna. Modele powielają wzorce, które przyswoiły, bez świadomości kontekstowej pozwalającej na rozróżnienie między bezpiecznymi praktykami kodowania a potencjalnymi lukami w zabezpieczeniach. Deweloper prosi o funkcjonalność, a AI ją dostarcza, ale wybór między bezpieczną a niebezpieczną implementacją pozostaje w gestii modelu.

Kluczowe wnioski dla liderów technologicznych

Badanie zidentyfikowało kilka ważnych trendów, które powinny kształtować strategię każdego CISO i CTO w zakresie bezpiecznego rozwoju w erze AI.

• Nowsze modele niekoniecznie są bezpieczniejsze. Chociaż modele AI stają się coraz lepsze w pisaniu składniowo poprawnego kodu, ich zdolność do zapewniania bezpieczeństwa pozostaje na stałym, niskim poziomie. Nawet najnowsze i największe modele nie wykazują znaczącego postępu w generowaniu bezpiecznego kodu, co oznacza, że liderzy nie mogą po prostu ufać, że aktualizacje narzędzi zminimalizują to ryzyko.
• Ryzyko różni się znacznie w zależności od typu luki. Modele radzą sobie całkiem dobrze z zapobieganiem popularnym lukom, takim jak SQL Injection. Jednak w przypadku błędów zależnych od kontekstu, takich jak Cross-Site Scripting (XSS), sytuacja jest katastrofalna – tylko 12-13% wygenerowanego kodu jest bezpieczne. Dzieje się tak, ponieważ ochrona przed takimi atakami wymaga zrozumienia całego kontekstu aplikacji, co obecnie przekracza możliwości LLM.
• Wybór języka programowania ma znaczenie. Badanie wykazało, że kod w Javie był znacznie mniej bezpieczny (tylko 28,5% skuteczności) niż kod generowany dla Pythona, C# i Javascript. Prawdopodobnie wynika to z długiej historii Javy i ogromnej liczby przestarzałych, niebezpiecznych przykładów kodu w jej danych treningowych.

Pobierz pełny raport: GenAI Code Security Report

First Name *

*

Last Name

Company *

*

Email *

*

Strategiczne rekomendacje dla CISO i CTO

AI jest potężnym asystentem, ale nie zastąpi wiedzy eksperckiej i solidnego zarządzania. Raport Veracode jasno pokazuje, że kod generowany przez sztuczną inteligencję wymaga obowiązkowej weryfikacji w ramach cyklu życia oprogramowania (SDLC).

• Ustanów jasne zasady korzystania z AI. Nie pozwalaj na doraźne wdrażanie narzędzi do kodowania AI. Zdefiniuj, które narzędzia są zatwierdzone i wymagaj, aby każdy kod wygenerowany przez AI był traktowany jako niezaufany, podobnie jak kod z niesprawdzonej biblioteki zewnętrznej.
• Zintegruj zautomatyzowane testy bezpieczeństwa. Narzędzia do statycznej analizy bezpieczeństwa aplikacji (SAST) muszą być zintegrowane z procesem deweloperskim. Narzędzia te mogą automatycznie wykrywać luki na etapie kodowania, zanim trafią do produkcji.
• Priorytetowo traktuj szkolenia z bezpieczeństwa dla deweloperów. W erze AI zrozumienie podstawowych zasad bezpiecznego programowania staje się jeszcze bardziej krytyczne. Twój zespół musi być w stanie wykrywać i naprawiać błędy wprowadzane przez AI.