Кто несет ответственность за код, сгенерированный ИИ: обзор отчета Veracode 2025

Искусственный интеллект (ИИ) кардинально меняет ландшафт разработки программного обеспечения. Инструменты на основе больших языковых моделей (LLM) позволяют разработчикам генерировать код из простых текстовых запросов, значительно ускоряя рабочие процессы. Но не приводит ли такая скорость к неприемлемым рискам? Veracode, мировой лидер в области безопасности приложений, провел глубокое исследование, чтобы ответить на этот критически важный для современных технологических лидеров вопрос.

Результаты, опубликованные в отчете "2025 GenAI Code Security Report", однозначны: в среднем 45% кода, созданного с помощью LLM, содержат недостатки безопасности. Эта статистика представляет собой значительную новую поверхность атаки для организаций.

Основная проблема: ИИ учится на незащищенных примерах

Главная причина такого высокого уровня уязвимостей заключается в том, что большие языковые модели обучаются на огромных массивах данных, включая миллиарды строк кода из открытых репозиториев. Значительная часть этих обучающих данных сама по себе не является безопасной. Модели воспроизводят усвоенные ими шаблоны, не обладая контекстным пониманием для различения безопасных практик кодирования и потенциальных брешей в безопасности. Разработчик запрашивает функционал, и ИИ его предоставляет, но выбор между безопасной и небезопасной реализацией остается на усмотрение модели.

Ключевые выводы для технологических лидеров

Исследование выявило несколько важных тенденций, которые должны лечь в основу стратегии каждого CISO и CTO по безопасной разработке в эпоху ИИ.

• Более новые модели не обязательно являются более безопасными. Хотя модели ИИ совершенствуются в написании синтаксически правильного кода, их способность обеспечивать безопасность остается на стабильно низком уровне. Даже самые современные и крупные модели не демонстрируют значительного прогресса в генерации безопасного кода, что означает, что руководители не могут просто доверять тому, что обновления инструментов снизят этот риск.
• Риск значительно варьируется в зависимости от типа уязвимости. Модели довольно хорошо справляются с предотвращением распространенных уязвимостей, таких как SQL-инъекции. Однако в случае контекстно-зависимых недостатков, таких как межсайтовый скриптинг (XSS), ситуация катастрофическая — лишь 12-13% сгенерированного кода являются безопасными. Это связано с тем, что защита от таких атак требует понимания всего контекста приложения, что в настоящее время выходит за рамки возможностей LLM.
• Выбор языка программирования имеет значение. Исследование показало, что код на Java оказался значительно менее безопасным (лишь 28,5% успеха) по сравнению с кодом, сгенерированным для Python, C# и Javascript. Вероятно, это связано с долгой историей Java и огромным количеством устаревших, небезопасных примеров кода в ее обучающих данных.

Скачать полный отчет: GenAI Code Security Reportt

First Name *

*

Last Name

Company *

*

Email *

*

Стратегические рекомендации для CISO и CTO

ИИ — это мощный помощник, но он не заменяет экспертизу и надежное управление. Отчет Veracode ясно показывает, что код, сгенерированный искусственным интеллектом, требует обязательной проверки в рамках жизненного цикла разработки программного обеспечения (SDLC).

• Установите четкие политики использования ИИ. Не допускайте бессистемного внедрения инструментов для кодирования с помощью ИИ. Определите, какие инструменты одобрены, и требуйте, чтобы весь код, сгенерированный ИИ, рассматривался как недоверенный, аналогично коду из непроверенной сторонней библиотеки.
• Интегрируйте автоматизированное тестирование безопасности. Инструменты статического анализа безопасности приложений (SAST) должны быть интегрированы в рабочий процесс разработки. Эти инструменты могут автоматически обнаруживать уязвимости на этапе кодирования, прежде чем они попадут в продакшн.
• Придавайте приоритет обучению разработчиков по безопасности. В эпоху ИИ понимание фундаментальных принципов безопасной разработки становится еще более критичным. Ваша команда должна быть способна выявлять и устранять недостатки, которые вносит ИИ.