Ponad połowa ekspertów ma obawy, że narzędzia AI wprowadzą luki w zabezpieczeniach kodu

Trzy lata temu sztuczna inteligencja podbiła świat, wyznaczając główne kierunki rozwoju większości branż. Nie inaczej było z IT – AI znalazła zastosowanie w takich obszarach jak programowanie, testowanie, analiza danych czy ocena bezpieczeństwa kodu. Jednak wraz z możliwościami rozwoju pojawiły się wątpliwości dotyczące skuteczności nowych technologii. Niektórzy eksperci obawiają się, że korzystanie z narzędzi AI może skutkować lukami w zabezpieczeniach tworzonych aplikacji. Czy w związku z tym sztuczna inteligencja jest jedynym słusznym kierunkiem dla branży IT i open source? Na to pytanie odpowiadają eksperci Linux Polska.

Sztuczna inteligencja przydatna, ale niedoskonała?

Według danych Eurostat w 2024 roku z technologii AI korzystało 13,5% europejskich firm, co oznacza wzrost o 5,5% względem roku ubiegłego. Zdecydowanie najbardziej otwarte na nowe narzędzia są duże przedsiębiorstwa – aż 41% z nich przyznaje, że wykorzystuje sztuczną inteligencję w swoich działaniach. Wśród tej grupy niemal połowa robi to w celu zwiększenia bezpieczeństwa ICT.

Również twórcy oprogramowania coraz chętniej wykorzystują w swojej pracy narzędzia AI. Liczba projektów GitHub powstałych z pomocą sztucznej inteligencji wzrosła od 845 w 2011 roku do 1,8 miliona w roku 2023. Według raportu The Linux Foundation narzędzia AI są najczęściej wykorzystywane do wykrywania anomalii w kodzie i łagodzenia ich skutków (35% odpowiedzi), testowania oprogramowania (34%) i generowania dokumentacji dla aplikacji (34%). Specjaliści często wskazywali również na wykorzystanie AI w celu analizy podatności i ograniczenia ryzyka (31%) oraz generowania kodu (29%).

Choć większość deweloperów uważa, że sztuczna inteligencja przyczyniła się do poprawy bezpieczeństwa kodu, część ma w tym zakresie odmienną opinię. Głównym argumentem jest fakt, że narzędzia AI czasami wprowadzają luki w zabezpieczeniach kodu. Jak podkreśla Dariusz Świąder, Prezes Linux Polska, wykorzystanie sztucznej inteligencji może usprawnić realizację wielu zadań związanych z tworzeniem i bezpieczeństwem oprogramowania, jednak jest jeszcze zdecydowanie za wcześnie, by ograniczać się do takiego rozwiązania.

– Algorytmy sztucznej inteligencji mogą wspierać działania deweloperów, jednak nie zastąpią ich pracy. Poleganie wyłącznie na AI w pracy nad kodem jest częstą przyczyną błędów, a także utrudnieniem na etapie późniejszych poprawek. Podobnie w przypadku bezpieczeństwa – AI może pomóc w ochronie aplikacji i systemów, jednak nie jest to rozwiązanie, które daje nam stałą gwarancję odpierania ataków. Musimy pamiętać, że cyberprzestępcy stosują coraz bardziej zaawansowane metody, dlatego o bezpieczeństwo należy dbać przekrojowo – wyjaśnia Dariusz Świąder, Linux Polska.

Prezes Linux Polska wskazuje, że osiągnięcie tego celu umożliwia wdrożenie w organizacji podejścia DevSecOps.

– DevSecOps integruje praktyki związane z bezpieczeństwem z metodami DevOps w całym cyklu życia aplikacji – od projektowania, przez rozwój, aż po jej wdrożenie i utrzymanie. To właśnie ścisła współpraca zespołów deweloperskich, bezpieczeństwa i operacyjnych pozwala na podjęcie szybkich działań w zakresie identyfikacji błędów i zagrożeń. Wdrożenie podejścia DevSecOps w organizacji jest wieloetapowe. My rozpoczynamy ją od analizy aktualnego stanu i zbudowania zautomatyzowanego środowiska narzędziowego, które integruje praktyki bezpieczeństwa w proces wytwórczy oprogramowania. Kolejne kroki mogą obejmować, m.in. automatyzację i audyt procesów DevSecOps, dostosowanie do regulacji i standardów branżowych czy wdrożenia strategii zarządzania ryzykiem – dodaje Dariusz Świąder, Linux Polska.

Czy eksperci ufają narzędziom AI?

Twórcy oprogramowania i specjaliści ds. bezpieczeństwa zauważają jeszcze jedno wyzwanie. Korzystanie z narzędzi AI do tworzenia kodu może bowiem przyczynić się do problemów związanych z prawami autorskimi i licencjami open source. Radosław Żak-Brodalko, Senior Solution Architect w Linux Polska, wskazuje, że kwestie te to tylko część całego przekroju elementów, które należy analizować przed wykorzystaniem w organizacji otwartego oprogramowania.

– Oprócz identyfikacji luk i błędów w kodzie analiza ryzyka open source powinna obejmować również wydajność i kompatybilność kodu, dokumentację, poziom długu technologicznego, wskaźnik zainteresowania projektem, liczbą i profil kontrybutorów czy zmiany w licencjach. Tych aspektów, które mogą wpłynąć na bezpieczeństwo organizacji, jest bardzo dużo, a ich analiza wymaga sporo czasu i często specyficznych kompetencji. Aby ułatwić organizacjom zarządzanie ryzykiem, stworzyliśmy naszą platformę – system, który mierzy ryzyko przy pomocy metody analizy rozwiązań informatycznych SCARE. Prosty do interpretacji indeks pozwala na podjęcie odpowiednich decyzji projektowych, a Centrum Indywidualnego Wsparcia Technicznego SourceMation wspiera organizację w zakresie analizy prawnej i technicznej, doboru optymalnych rozwiązań oraz ich wdrożeń – wyjaśnia Radosław Żak-Brodalko, Linux Polska.

Droga pełna wyzwań

Już teraz narzędzia AI są doceniane za możliwość wykrywania błędów w kodzie, kontroli jego spójności czy zastosowania wcześniej wykorzystanych rozwiązań w nowych projektach. Jednak jak podkreśla Tomasz Dziedzic, Chief Technology Officer w Linux Polska, wykorzystanie sztucznej inteligencji na jej aktualnym etapie rozwoju wiąże się również z wieloma wyzwaniami.

– Narzędzia AI do tworzenia kodu nadal wymagają ścisłej współpracy z programistą, który dokładnie określi założenia projektowe, będzie potrafił skontrolować uzyskane efekty, a także wyjdzie poza schematy, na podstawie których działa sztuczna inteligencja. Podobnie jest w kwestii bezpieczeństwa – choć wiele procesów może zostać zautomatyzowanych, nadal nadzór nad nimi wymaga wiedzy, kompetencji i doświadczenia specjalistów. Wymaga również od organizacji zmiany kulturowej opartej na DevSecOps, która na pierwszym miejscu stawia współpracę między różnymi działami w firmie i ciągłe doskonalenie– podsumowuje Tomasz Dziedzic, Linux Polska.