- O código gerado pela IA está crescendo mais rapidamente do que os mecanismos de supervisão de segurança.
- As revisões manuais lutam para acompanhar o software gerado por máquina.
- Os líderes de segurança temem que padrões de codificação inseguros se espalhem pelo pipeline de desenvolvimento.
Os assistentes de codificação de inteligência artificial se espalharam pelas equipes de desenvolvimento mais rápido do que as estruturas de segurança conseguem se adaptar.
De acordo com um estudo da New Salt Security, 90% dos líderes de segurança estão agora ativamente preocupados com os riscos representados pelo software gerado por IA.
No entanto, as organizações continuam a adotá-lo. Porque as ferramentas de IA aceleram as tarefas de codificação, reduzem o tempo gasto em iterações e aceleram a entrega de software.
A revisão humana não consegue acompanhar o ritmo da IA
Os líderes de segurança acreditam que as práticas de desenvolvimento concebidas antes de a IA se tornar dominante podem já não fornecer supervisão suficiente.
Quase um terço (29%) dos entrevistados identificou padrões de codificação inseguros como o principal risco representado pelos assistentes de IA.
Esses sistemas aprendem com grandes conjuntos de dados de treinamento que contêm suas próprias falhas e práticas desatualizadas.
As ferramentas de IA podem gerar código que parece funcionar perfeitamente, ao mesmo tempo que replica silenciosamente vulnerabilidades que os humanos possam ter descoberto.
Este problema é semelhante a: O software antivírus deve atualizar constantemente suas definições porque novas ameaças aparecem mais rápido do que o banco de dados de assinaturas pode crescer.
A diferença aqui é que não existe uma autoridade central que monitorize todos os padrões inseguros que a IA pode replicar. Isso ocorre porque, apesar das preocupações generalizadas levantadas pela IA, mais de um terço das organizações ainda dependem de revisões manuais de código antes do lançamento.
Quando a IA gera uma quantidade de código que nenhuma equipe consegue inspecionar minuciosamente, depender da inspeção humana torna-se estruturalmente problemático.
Este método funciona quando os desenvolvedores escrevem software na velocidade humana, mas falha quando a IA acelera drasticamente a produção.
A fadiga dos revisores se instala rapidamente, as equipes aplicam padrões inconsistentes e os requisitos de segurança são interpretados de forma diferente entre departamentos.
Os assistentes de codificação de IA estão mudando fundamentalmente a forma como o software é construído, mas a governança não está acompanhando”, disse Roey Eliyahu, CEO e cofundador da Salt Security.
“Embora a maioria das organizações esteja ciente dos riscos, muitas ainda estão tentando gerenciar códigos gerados por IA usando processos de segurança projetados para um mundo pré-IA.”
Essa abordagem não é melhor do que usar uma única caixa de entrada de e-mail para processar milhões de mensagens por dia sem qualquer filtragem ou automação.
A complexidade empresarial torna a aplicação mais difícil
As grandes organizações com 500 ou mais funcionários enfrentam desafios de governação que as pequenas empresas não enfrentam.
Equipes distribuídas usam ferramentas diferentes, seguem fluxos de trabalho diferentes e aplicam padrões de segurança de forma inconsistente e rigorosa em todas as regiões geográficas.
O risco de os desenvolvedores se tornarem excessivamente dependentes de assistentes de IA aumenta proporcionalmente com o tamanho da equipe e a pressão para entregar.
As agências de segurança, incluindo agências governamentais de cibersegurança, alertaram anteriormente que os sistemas de IA expandem a superfície de ataque e complicam significativamente as estruturas de responsabilização.
Sem melhor visibilidade sobre onde o código gerado pela IA entra no pipeline, a governança permanece como uma adivinhação disfarçada de processo.
Trate os assistentes de codificação de IA como componentes da cadeia de fornecimento de software – semelhante à verificação de terceiros Risco de malware — Isso fornece um caminho mais realista do que esperar que a revisão manual de alguma forma o atualize.
Siga o TechRadar no Google Notícias e Adicione-nos como fonte preferencial Receba notícias, análises e opiniões de especialistas em seu feed.
