This post is also available in:
English (אנגלית)
עלייתם של כלי בינה מלאכותית שעוזרים לכתוב קוד מחוללת מהפכה בפיתוח תוכנה, אך מחקר חדש מדגיש סיכוני אבטחה רציניים הקשורים לקוד שנוצר על ידי בינה מלאכותית. בעת שעוזרי בינה מלאכותית כמו GitHub CoPilot, ChatGPT וקלוד הופכים לנפוצים יותר, חברות עומדות בפני אתגרים חדשים בהבטחת אבטחת היישומים שלהן.
דו"ח שפורסם לאחרונה על ידי חברת האבטחה Apiiro, בתמיכת Gartner Research, מזהיר כי האימוץ המהיר של בינה מלאכותית גנראטיבית (Generative AI) בכתיבת קוד הוביל ל"טרייד-אוף" בתחום האבטחה. בעוד שכלי בינה מלאכותית משפרים את מהירות הפיתוח, הם גם מגבירים את חולשות האבטחה בשל שגיאות בכתיבת הקוד וחוסר בכוח אדם מספיק כדי לערוך ביקורות.
הניתוח העמוק של Apiiro בוצע על מיליוני שורות קוד מתעשיות שונות, כולל שירותים פיננסיים וטכנולוגיה, וחושף פגמים אבטחתיים מדאיגים בקוד שנוצר על ידי בינה מלאכותית. אלה כוללים עלייה של פי שלושה במאגרים המכילים מידע המאפשר זיהוי אישי (PII) ונתוני תשלום חשופים, עלייה של פי עשרה במאגרי API החסרים אימות קלט, ועלייה בנקודות קצה של API רגישות חשופות. זוהי חולשה שיכולה לשמש עברייני סייבר במגוון מזימות.
הגידול בשימוש בכלי AI, במיוחד מאז השקת ChatGPT של OpenAI בסוף 2022, הגביר את הסיכונים הללו. לפי Apiiro, מספר בקשות המשיכה (pull), אינדיקטור מרכזי, זינק ב-70% מאז הרבעון השלישי של 2022, הרבה מעבר לגידול של 30% במאגרים ולגידול של 20% במפתחים. האצה זו ביצירת קוד מדגישה את הפער ההולך וגדל בין פיתוח מונחה AI לבין ביקורות אבטחה ידניות.
מומחים מדגישים כי תהליכי ביקורת אבטחה מסורתיים, המסתמכים על פיקוח ידני, אינם מספיקים עוד בעידן הבינה המלאכותית. כאשר מפתחים מתחרים כדי לעמוד בדרישות ליצירת קוד מהיר יותר, חולשות כגון ממשקי API חשופים ואישורים חסרים הופכים נפוצים יותר, ומותירים עסקים חשופים להתקפות סייבר.
כדי לצמצם סיכונים אלה, מומחים קוראים לעסקים לאמץ מערכות אוטומטיות לבדיקת אבטחה שיכולות לעמוד בקצב יצירת קוד הנכתב על ידי בינה מלאכותית. האתגר הוא לאזן בין חדשנות לאבטחה, ולהבטיח שהיתרונות של כלי בינה מלאכותית לא יהיו במחיר של בטיחות ארגונית.
