2025 년 코딩은 파편을 넘어서거나 디버깅에 오랜 시간을 보내는 것이 아닙니다. 전체 ‘Nother 분위기입니다. AI 생성 코드 미래의 제품에서 대부분의 코드가 될 것이며 현대 개발자에게 필수 툴킷이되었습니다. “Vibe Coding”으로 알려진 Github Copilot, Amazon Codewhisperer 및 Chat GPT와 같은 도구에 의해 생성 된 코드 사용은 빌드 시간을 줄이고 효율성을 높이는 데 예외가되지 않습니다. 그러나 AI 생성 코드의 편의가 더 어두운 위협으로 위험 할 수 있습니까? 생성 AI는 보안 아키텍처에서 취약점을 증가 시키거나 개발자가 안전에서 “Vibe Code”를 할 수있는 방법이 있습니까?
DeepSource의 설립자 인 Sanket Saurav는“AI 생성 코드의 취약성으로 인한 보안 사고는 오늘날 가장 논의 된 주제 중 하나입니다. “Copilot 또는 Chat GPT와 같은 플랫폼에서 인간 검토를받지 못하는 플랫폼에서 생성 된 많은 코드가 여전히 있으며, 보안 위반은 영향을받는 회사에게는 치명적일 수 있습니다.”
Saurav는 코드 품질 및 보안에 대한 정적 분석을 사용하는 오픈 소스 플랫폼의 개발자 인 Saurav는 인용했습니다. SolarWinds는 2020 년에 해킹합니다 AI 생성 코드를 사용할 때 회사가 올바른 경비원을 설치하지 않은 경우 기업이 직면 할 수있는 “멸종 이벤트”의 종류로서. Saurav는“정적 분석을 통해 안전하지 않은 코드 패턴과 나쁜 코딩 관행을 식별 할 수 있습니다.
도서관을 통해 공격했습니다
AI 생성 코드에 대한 보안 위협은 독창적 인 형태를 취할 수 있으며 라이브러리를 지시 할 수 있습니다. 프로그래밍 라이브러리는 개발자가 쓰기시 시간을 절약하는 데 사용하는 유용한 재사용 가능한 코드입니다.
그들은 종종 데이터베이스 상호 작용 관리와 같은 정기적 인 프로그래밍 작업을 해결하고 프로그래머가 코드를 처음부터 다시 작성하지 않도록 도와줍니다.
라이브러리에 대한 그러한 위협 중 하나는 “환각”으로 알려져 있으며, 여기서 Ai-Generative Code는 가상의 라이브러리를 사용하여 취약성을 표시합니다. AI 생성 코드에 대한 최근의 또 다른 공격 라인을 “SlopSquatting”이라고합니다. 여기서 공격자는 라이브러리를 직접 타겟팅하여 데이터베이스에 침투 할 수 있습니다.
이러한 위협을 해결하려면 “Vibe Coding”이라는 용어에 의해 제안 될 수있는 것보다 더 많은 마음이 필요할 수 있습니다. Rafael Khoury 교수는 Université du Québec en Outaouais에서 그의 사무실에서 연설하면서 AI 생성 코드의 보안 발전을 밀접하게 따르고 있으며 새로운 기술이 안전을 향상시킬 것이라고 확신합니다.
~ 안에 2023 종이Khoury 교수는 Chatgpt에게 더 이상 문맥이나 정보없이 코드를 생성하도록 요청한 결과를 조사했습니다. Chat Gpt의 초기 시절이었고 Khoury는 이제 앞으로의 도로에 대해 낙관적입니다. Khoury는“그 이후로 많은 검토를 받고있는 많은 연구가 있었고 미래는 더 나은 결과로 이어질 수있는 LLM을 사용하기위한 전략을 찾고있다”고 덧붙였다.
Khoury는 계속 설명했습니다 유망한 연구 그들이 코드를 생성 한 다음이 코드를 취약성을 위해 분석하는 도구로 보냈습니다. 이 도구에서 사용하는 방법은 생성 AI (또는 단락)를 갖는 라인 이상을 찾는 것으로 지칭된다.
“이 도구는 24 행에서 취약성을 식별 할 수있는 플래그를 보냅니다. 예를 들어 개발자는 정보와 함께 LLM으로 돌아와서 문제를 해결하고 문제를 해결하도록 요청할 수 있습니다.”
Khoury는이 앞뒤가 공격에 취약한 코드를 수정하는 데 중요 할 것이라고 제안했습니다. “이 연구는 5 번의 반복으로 취약점을 0으로 줄일 수 있다고 제안합니다.”
이것은 플래그 방법에 문제가 없으며, 특히 잘못된 양성과 잘못된 부정을 일으킬 수 있기 때문에 문제가 없습니다. 이 외에도 LLMS가 생성 할 수있는 코드 길이에는 한계가 있으며 조각을 결합하는 행위는 또 다른 위험층을 추가 할 수 있습니다.
인간을 루프에 유지합니다
“Vibe Coding”내의 일부 플레이어는 조각화 코드를 파편화하고 인간이 코드베이스의 가장 중요한 편집에서 오른쪽으로 앞쪽으로 유지하도록 권장합니다. Windsurf의 제품 엔지니어링 책임자 인 Kevin Hou는“코드를 작성할 때 커밋 측면에서 생각하십시오.
“대규모 프로젝트를 작은 덩어리로 분류하여 일반적으로 커밋 또는 풀 요청이됩니다. 에이전트가 한 번에 하나의 분리 된 기능을 더 작은 규모로 구축하도록하십시오. 이렇게하면 코드 출력이 잘 테스트되고 잘 이해 될 수 있습니다.”
글을 쓰는 시점에서 Windsurf는 50 억 줄 이상의 AI 생성 코드 (이전 이름 Codeium을 통해)에 접근했습니다. Hou는 그들이 대답하고있는 가장 시급한 질문은 개발자가 프로세스를 인식했는지 여부라고 말했다.
“AI는 많은 파일에 걸쳐 많은 편집을 동시에 만들 수 있으므로 개발자가 모든 것을 맹목적으로 받아들이는 대신 실제로 일어나는 일을 이해하고 검토 할 수 있도록 어떻게해야합니까?” Hou는 Windsurf의 UX에 많은 투자를했다고 덧붙였다.
그렇기 때문에“분위기 코딩”더 주류가되고, 루프의 인간은 취약점에 더주의를 기울여야합니다.“환각”에서“슬로프 스케팅”위협에 이르기까지 도전은 실제적이지만 해결책도 마찬가지입니다.
정적 분석, 플래그와 같은 반복 정제 방법 및 사려 깊은 UX 디자인과 같은 새로운 도구는 보안과 속도가 상호 배타적 일 필요가 없음을 보여줍니다.
핵심은 개발자들을 참여시키고 정보를 제공하며 통제하는 데 있습니다. 올바른 가드 레일과 “신뢰하지만 확인”사고 방식을 사용하면 AI 지원 코딩은 혁명적이고 책임이 될 수 있습니다.
게시물 AI 생성 코드가 여기에 있습니다. 결과적으로 우리는 덜 안전합니까? 먼저 나타났습니다 Unite.ai.