Um dos benefícios mais elogiados da proliferação da inteligência artificial é como ela pode auxiliar desenvolvedores com tarefas servis. No entanto, uma nova pesquisa mostra que os líderes de segurança não estão totalmente a bordo, com 63% contemplando proibir o uso de IA na codificação devido aos riscos que ela impõe.
Uma proporção ainda maior, 92%, dos tomadores de decisão pesquisados estão preocupados com o uso de código gerado por IA em sua organização. Suas principais preocupações estão todas relacionadas à redução da qualidade da saída.
Os modelos de IA podem ter sido treinados em bibliotecas de código aberto desatualizadas, e os desenvolvedores podem rapidamente se tornar excessivamente dependentes do uso de ferramentas que facilitam suas vidas, o que significa que códigos ruins proliferam nos produtos da empresa.
VEJA: Principais ferramentas de segurança para desenvolvedores
Além disso, os líderes de segurança acreditam que é improvável que o código gerado por IA seja verificado quanto à qualidade com tanto rigor quanto as linhas escritas à mão. Os desenvolvedores podem não se sentir tão responsáveis pela saída de um modelo de IA e, consequentemente, não sentirão tanta pressão para garantir que ele seja perfeito também.
O TechRepublic conversou com Tariq Shaukat, CEO da empresa de segurança e qualidade de código Sonar, na semana passada, sobre como ele está “ouvindo cada vez mais” sobre empresas que usaram IA para escrever seu código e estão enfrentando interrupções e problemas de segurança.
“Em geral, isso se deve a revisões insuficientes, seja porque a empresa não implementou práticas robustas de qualidade e revisão de código, ou porque os desenvolvedores estão examinando o código escrito por IA menos do que examinariam seu próprio código”, disse ele.
“Quando perguntados sobre IA com bugs, um refrão comum é ‘não é meu código’, o que significa que eles se sentem menos responsáveis porque não o escreveram.”
O novo relatório, “Organizations Struggle to Secure AI-Generated and Open Source Code” do provedor de gerenciamento de identidade de máquina Venafi, é baseado em uma pesquisa com 800 tomadores de decisões de segurança nos EUA, Reino Unido, Alemanha e França. Ele descobriu que 83% das organizações estão atualmente usando IA para desenvolver código e é uma prática comum em mais da metade, apesar das preocupações dos profissionais de segurança.
“Novas ameaças — como envenenamento de IA e escape de modelo — começaram a surgir enquanto ondas massivas de código de IA generativo estão sendo usadas por desenvolvedores e novatos de maneiras ainda a serem compreendidas”, disse Kevin Bocek, diretor de inovação da Venafi, no relatório.
Enquanto muitos consideraram proibir a codificação assistida por IA, 72% sentiram que não têm escolha a não ser permitir que a prática continue para que a empresa possa permanecer competitiva. De acordo com a Gartner, 90% dos engenheiros de software corporativo usarão assistentes de código de IA até 2028 e colherão ganhos de produtividade no processo.
VEJA: 31% das organizações que usam IA generativa pedem para ela escrever código (2023)
Profissionais de segurança perdem o sono por causa desse problema
Dois terços dos entrevistados do relatório Venafi dizem que acham impossível acompanhar os desenvolvedores superprodutivos ao garantir a segurança de seus produtos, e 66% dizem que não conseguem controlar o uso seguro da IA dentro da organização porque não têm visibilidade sobre onde ela está sendo usada.
Como resultado, os líderes de segurança estão preocupados com as consequências de deixar potenciais vulnerabilidades passarem despercebidas, com 59% perdendo o sono por causa do assunto. Quase 80% acreditam que a proliferação de código desenvolvido por IA levará a um acerto de contas de segurança, pois um incidente significativo leva a uma reforma na forma como ele é tratado.
Bocek acrescentou em um comunicado à imprensa: “Equipes de segurança estão presas entre a cruz e a espada em um novo mundo onde a IA escreve código. Os desenvolvedores já estão supercarregados pela IA e não vão abrir mão de seus superpoderes. E os invasores estão se infiltrando em nossas fileiras — exemplos recentes de intromissão de longo prazo em projetos de código aberto e infiltração norte-coreana de TI são apenas a ponta do iceberg.”