За даними звіту Cloudsmith «Artifact Management Report 2025», «ШІ тепер пише код у масштабах». Серед розробників, які користуються ШІ, 42% повідомили, що принаймні половина їхнього коду створена штучним інтелектом. З них 16,6% вважають, що більшість коду — це робота ШІ, а 3,6% заявили, що весь їхній код — виключно машинний.
Звіт не деталізує, скільки розробників взагалі застосовують ШІ для кодування. Але у минулому році GitHub повідомив, що понад 97% опитаних з США, Бразилії, Німеччини та Індії хоча б раз використовували AI-інструменти в роботі. Підтримка корпоративних AI-інструментів кодування коливається від 88% у США до 59% у Німеччині.
Проте Cloudsmith застерігає: «Хоча великі мовні моделі (LLM) підвищують продуктивність, генеруючи код швидко, вони можуть ненавмисно додавати ризики, пропонуючи неіснуючі або шкідливі пакети».
Розробники це добре розуміють. Запитали, чи збільшить ШІ загрози відкритому програмному забезпеченню, таким як typosquatting або плутанина залежностей, 79,2% вважають, що так, а 30% прогнозують значне зростання кількості шкідливого коду.
Лише 13% думають, що ШІ зможе зменшити ці загрози. Водночас 40% вважають, що найбільший ризик виникає саме під час генерації коду ШІ.
Третина розробників не перевіряє код, створений ШІ, перед тим як запускати його в роботу. Тобто значна частина такого коду потрапляє у фінальні продукти без жодного людського контролю. А це відкриває двері для помилок, багів і навіть шкідливих програм — і ставить під загрозу всю систему, в яку цей код вбудований.Двоє із трьох довіряють AI-коду лише після ручної перевірки. Однак постає питання, чи залишиться це так, коли частка AI-коду постійно зростає.
Інакше кажучи, штучний інтелект приносить із собою нові ризики — часто у великих масштабах. А старі проблеми, такі як перевірка цілісності програмних компонентів, правильне підключення сторонніх бібліотек (залежностей) чи ведення технічної документації про склад програмного продукту (SBOM), тільки посилюються. Усе через те, що ШІ може дуже швидко «підтягувати» і повторно використовувати код, походження якого невідоме або ненадійне.
У Cloudsmith вважають, що зараз ми опинилися на переломному етапі: штучний інтелект уже став ключовою частиною розробки програм, але інструменти, політики й моделі довіри просто не встигають за цією трансформацією. А покладатися лише на ручну перевірку коду — більше не варіант.
Тому компанія закликає до модернізації всього процесу: впровадити розумний контроль доступу до кодових компонентів, зробити процес розробки повністю прозорим, використовувати гнучкі правила керування та автоматизовані політики безпеки (policy-as-code).
Що ж до коду, створеного ШІ — Cloudsmith пропонує запровадити автоматичні правила, які виявлятимуть усі підозрілі або неперевірені фрагменти. Також важливо відстежувати, який код написала людина, а який — машина.
Авторка: Дар’я Бровченко
Немає коментарів:
Дописати коментар
Примітка: лише член цього блогу може опублікувати коментар.