문화를 파괴하는 최신 AI 도구에 대한 첫 번째 과장된 소문부터 개발자와 코딩에 관심 있는 사람들은 모두 이를 사용하여 버튼 하나만 누르면 코드를 생성해 왔습니다. 보안 전문가들은 대부분의 경우 생성되는 코드가 다음과 같다고 재빠르게 지적했습니다. 품질이 낮고 취약함 그리고 보안에 대한 인식이 거의 없는 사람들의 손에 엄청난 피해가 발생할 수 있습니다. 안전하지 않은 앱 및 웹 개발 의심하지 않는 소비자를 공격합니다.
그리고 그것을 악한 목적으로 사용할 만큼 충분한 보안 지식을 갖고 있는 사람들도 있습니다. 모든 놀라운 AI 업적에는 동일한 기술이 사용되는 반격이 있는 것 같습니다. 사악한 목적. 피싱, 심층 가짜 사기 동영상, 악성 코드 생성, 일반 스크립트 아동 헛소리 등 이러한 파괴적인 활동은 이제 진입 장벽이 낮아지면서 훨씬 더 빠르게 달성될 수 있습니다.
이 도구를 혁명적이라고 선전하거나 최소한 "평균적인" 인간 기술과 일치할 때 최고의 결과를 얻을 수 있다고 선전하는 클릭베이트가 많이 있습니다. LLM(대형 언어 모델 스타일) AI 기술이 소프트웨어 개발뿐만 아니라 업무의 여러 측면에 접근하는 방식을 변화시키는 것이 불가피해 보이지만, 우리는 한발 물러서서 헤드라인 너머의 위험을 고려해야 합니다.
그리고 코딩 동반자로서 결함은 아마도 가장 "인간적인" 속성일 것입니다.
열악한 코딩 패턴이 Go-To 솔루션을 지배합니다.
수십 년간의 기존 코드와 지식 기반을 바탕으로 교육받은 ChatGPT를 사용하면 그 모든 경이로움과 미스터리에도 불구하고 사람들이 코드를 탐색할 때 직면하는 것과 동일한 일반적인 함정에 시달리는 것은 놀라운 일이 아닙니다. 잘못된 코딩 패턴이 기본이며 올바른 질문을 하고 올바른 프롬프트 엔지니어링을 제공하여 보안 코딩 예제를 생성하려면 보안 인식 드라이버가 필요합니다.
그렇더라도 제공된 코드 조각이 보안 관점에서 정확하고 기능적이라는 보장은 없습니다. 기술은 환각을 일으키기 쉽습니다. 존재하지 않는 라이브러리 만들기 특정 JSON 작업을 수행하라는 요청을 받을 때. 이는 위협 행위자에 의한 "환각 쪼그리고 앉는 행위"로 이어질 수 있으며, 이들은 ChatGPT에서 확신을 갖고 권장하는 조작된 라이브러리로 위장한 일부 악성 코드를 실행하는 데 매우 기뻐할 것입니다.
궁극적으로 우리는 일반적으로 개발자가 보안을 충분히 인식할 것으로 기대하지 않았으며 업계에서도 기본 상태로 보안 코드를 작성하도록 적절하게 준비하지 못했다는 현실에 직면해야 합니다. 이는 ChatGPT에 공급되는 엄청난 양의 훈련 데이터에서 분명하게 드러날 것이며, 적어도 처음에는 그 출력에서도 비슷한 미약한 보안 결과를 기대할 수 있습니다. 개발자는 보안 버그를 식별하고 스스로 수정하거나 보다 강력한 결과를 위해 더 나은 프롬프트를 디자인할 수 있어야 합니다.
처음으로 대규모 사용자 연구 다양한 보안 관련 기능을 해결하기 위해 사용자가 AI 코딩 도우미와 상호 작용하는 방법을 스탠포드 대학 연구원이 실시한 조사는 이러한 개념을 뒷받침합니다.
이것과 우리의 미래에 스며들게 될 피할 수 없는 AI 기반 위협 사이에서 개발자는 이제 그 어느 때보다 보안 기술을 연마하고 출처에 관계없이 코드 품질에 대한 기준을 높여야 합니다.
데이터 유출 재해로 가는 길은 좋은 의도로 포장되어 있습니다
AI 코딩 컴패니언이 인기가 있다는 것은 놀라운 일이 아닙니다. 특히 개발자의 책임이 커지고 기한이 촉박해지며 기업 혁신에 대한 야망이 어깨에 얹혀 있는 상황에서 더욱 그렇습니다. 그러나 최선의 의도에도 불구하고 코딩에 AI를 사용할 때 실행 가능한 보안 인식이 부족하면 필연적으로 눈에 띄는 보안 문제가 발생할 수 있습니다. AI/ML 도구를 사용하는 모든 개발자는 더 많은 코드를 생성하며 보안 위험 수준은 기술 수준에 따라 달라집니다. 조직은 훈련받지 않은 사람들이 확실히 코드를 더 빨리 생성할 것이지만 기술 보안 부채의 속도도 증가한다는 점을 절실히 인식해야 합니다.
지난 4월 ChatGPT를 사용한 예비 테스트에서도 치명적인 결과를 초래할 수 있는 매우 기본적인 실수가 발생할 수 있다는 사실이 밝혀졌습니다. MySQL 데이터베이스를 사용하여 PHP에서 로그인 루틴을 구축하도록 요청했을 때 기능 코드가 빠르게 생성되었습니다. 그러나 기본적으로 데이터베이스에 일반 텍스트로 비밀번호를 저장하고, 데이터베이스 연결 자격 증명을 코드에 저장하고, SQL 주입을 초래할 수 있는 코딩 패턴을 사용했습니다(단, 입력 매개변수에 대해 일정 수준의 필터링을 수행하고 데이터베이스 오류를 뱉어냈습니다). ). 어떤 기준으로든 모든 신인 오류:
추가 메시지를 통해 실수를 수정했지만 방향을 수정하려면 상당한 보안 지식이 필요합니다. 이러한 도구를 확인되지 않고 광범위하게 사용하는 것은 후배 개발자를 프로젝트에 투입하는 것보다 나을 것이 없습니다. 이 코드가 민감한 인프라를 구축하거나 개인 데이터를 처리하는 경우 시한폭탄이 작동하는 것입니다.
물론 주니어 개발자가 시간이 지남에 따라 기술이 향상되는 것처럼 AI/ML 기능도 향상될 것으로 기대합니다. 1년 뒤에는 이렇게 명백하고 단순한 보안 실수를 저지르지 않을 수도 있습니다. 그러나 이는 여전히 발생할 위험이 있는 더 심각하고, 숨겨진, 사소하지 않은 보안 오류를 추적하는 데 필요한 보안 기술을 극적으로 향상시키는 효과를 가져올 것입니다.
우리는 보안 취약점을 찾아 해결할 준비가 되어 있지 않으며 AI는 격차를 확대합니다.
수년 동안 "왼쪽으로 이동"에 대한 이야기가 많이 있었지만 대부분의 조직에서 개발 집단 사이에 실질적인 보안 지식이 상당히 부족하다는 사실은 여전히 남아 있습니다. 적합한 도구 및 교육 제공 가는 길에 그들을 돕기 위해.
현재로서는 우리가 이미 직면하고 있는 보안 버그에 대비하지 못하고 있으며, 산불처럼 도발할 완전히 새로운 공격 벡터를 나타내는 프롬프트 주입 및 환각 쪼그리고 앉기와 같은 새로운 AI 관련 문제는 말할 것도 없습니다. AI 코딩 도구는 개발자의 코딩 무기고의 미래를 대표하지만 이러한 생산성 무기를 안전하게 사용하기 위한 교육은 지금 이루어져야 합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/vulnerabilities-threats/when-it-comes-to-secure-coding-chatgpt-is-quintessentially-human
- :있다
- :이다
- :아니
- $UP
- 7
- a
- 할 수 있는
- 정확한
- 방과 후 액티비티
- 배우
- 적절하게
- AI
- AI / ML
- 서로 같은
- All
- 이미
- 이기는하지만
- 야망
- 중
- 양
- an
- 및
- 어떤
- 접근
- 앱
- Apr
- 있군요
- 병기고
- AS
- 측면
- 조수
- At
- 공격
- 눈사태
- 평균
- 인식
- 인식
- 뒤로
- 바
- 장벽
- 기본
- BE
- 된
- 존재
- BEST
- 더 나은
- 그 너머
- 폭탄
- 위반
- 버그
- 빌드
- 건물
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- 단추
- by
- CAN
- 기능
- 가지 경우
- 원인
- 확실히
- 이전 단계로 돌아가기
- ChatGPT
- 클릭 베이트
- 암호
- 코딩
- 보병대
- 왔다
- 제공
- 오는
- 공통의
- 동반자
- 동반자
- 회사
- 실시
- 자신
- 연결
- 결과
- 고려
- 소비자
- 수
- 코스
- 창조
- 신임장
- 위험
- 데이터
- 데이터 위반
- 데이터베이스
- 빚
- 수십 년
- 깊은
- 깊은 거짓
- 태만
- 배달
- 디자인
- 파괴적인
- 개발자
- 개발자
- 개발
- DID
- 재앙
- disruptive
- do
- 지배하다
- 아래 (down)
- 극적으로
- 운전사
- 교육
- 효과
- 중
- 엔지니어링
- 거대한
- 충분히
- 전적으로
- 항목
- 오류
- 특히
- 조차
- EVER
- 모든
- 분명한
- 검사
- 예
- 현존하는
- 기대
- 기대하는
- 전문가
- 페이스메이크업
- 직면
- 사실
- 모조품
- 빠른
- 묘기
- 연방 준비 은행
- 필터링
- Find
- 먼저,
- 수정
- 결함
- 럭셔리
- 에
- 가득 찬
- 기능의
- 기능
- 미래
- 일반
- 생성
- 생성
- 주어진
- 좋은
- 보증
- 손
- 행복한
- 있다
- 헤드 라인
- 도움
- 숨겨진
- 히트
- 방법
- 그러나
- HTTPS
- 사람의
- 과대 광고
- 확인
- if
- 개선
- in
- 증가
- 증가
- 산업
- 피할 수없는
- 필연적으로
- 인프라
- 처음에는
- 혁신
- 입력
- 의도
- 상호 작용하는
- 으로
- 문제
- IT
- 그
- JSON
- 다만
- 지식
- 결핍
- 마비 된
- 언어
- 넓은
- 최근
- 리드
- 가장 작은
- 왼쪽 (left)
- 레벨
- 도서관
- 처럼
- 작은
- LLM
- 로그인
- 찾고
- 롯
- 절감
- 확인
- 악성 코드
- Malwarebytes
- .
- 놀라운 일
- 일치하는
- 문제
- 최대 폭
- XNUMX월..
- 측정
- 실수
- 배우기
- 가장
- 많은
- 절대로 필요한 것
- MySQL은
- 신비
- 탐색
- 필요
- 신제품
- 아니
- 존재하지 않는
- 개념
- 지금
- 분명한
- of
- 오프
- on
- 행정부
- or
- 조직
- 출발지
- 우리의
- 아웃
- 결과
- 출력
- 위에
- 매개 변수
- 암호
- 무늬
- 패턴
- 사람들
- 수행
- 혹시
- 확인
- 개인 정보
- 관점
- 피싱
- PHP
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 가난한
- 인기 문서
- 실용적인
- 준비
- 문제
- 처리
- 생산
- 생산
- 생산력
- 프로젝트
- 품질
- 문의
- 빨리
- 모집
- RE
- 현실
- 추천
- 남아
- 유적
- 대표
- 필수
- 연구원
- 책임
- 휴식
- 결과
- 결과
- 공개
- 혁명
- 연락해주세요
- 위험
- 위험
- 도로
- 강력한
- s
- 안전하게
- 같은
- 사기
- 안전해야합니다.
- 보안
- 보안 인식
- 것
- 민감한
- 진지한
- 세트
- 이동
- 영상을
- 상당한
- 비슷한
- 단순, 간단, 편리
- 기술
- 기술
- So
- 소프트웨어
- 소프트웨어 개발
- 풀다
- 일부
- 구체적인
- 속도
- 회전
- 서
- stanford
- 스탠포드 대학
- 주 정부
- 단계
- 아직도
- 저장
- 이러한
- 고통
- 지원
- 놀람
- 받아
- 소요
- 이야기
- 테크니컬
- Technology
- test
- 보다
- 그
- XNUMXD덴탈의
- 미래
- 그들의
- 그들
- 그들 자신
- 그때
- 그곳에.
- Bowman의
- 그들
- 이
- 그
- 위협
- 위협 행위자
- 위협
- 두색 이상의 줄무늬
- 단단한
- 시간
- 에
- 너무
- 검색을
- 상단
- 터치
- 선로
- 훈련 된
- Thinking
- 의심 할 여지없이
- 대학
- 사용
- 익숙한
- 사용자
- 사용자
- 사용
- 종류
- 대단히
- 동영상
- 취약점
- 였다
- 방법..
- we
- 무기
- 웹
- 잘
- 했다
- 언제
- 동안
- 누구
- 펼친
- 의지
- 과
- 작업
- 겠지
- 쓰다
- year
- 년
- 너의
- 제퍼 넷