GitHub Copilot易受攻擊 專家提供解決方案
編譯/黃竣凱
隨著越來越依賴人工智慧 (AI)完成各種任務,安全隱患也變得越來越嚴重。程式碼安全培訓公司Cydrill就指出,透過AI程式設計助手GitHub Copilot,駭客可能會利用「假程式碼」入侵用戶的設備,造成重大威脅。
GitHub Copilot易受攻擊
據報導,雖然GitHub Copilot 由 OpenAI 的 Codex 提供支援,透過建議程式碼片段,甚至整個程式碼,證明了AI在程式設計方面的潛力。 然而,多項研究都強調,完全依賴這項技術非常危險。 事實證明,Copilot 產生的程式碼有「很大一部分」可能包含安全缺陷,包括 SQL 注入和緩衝區溢位等常見攻擊的漏洞。
更多新聞:更聰明更具對話性 OpenAI 推出GPT-4 Turbo
AI程式碼有缺陷
雖然像 Copilot 這樣的AI模型是從現有數據中學習的,但其中大部分數據都無人監督,因此如果資料有缺陷,輸出就(包括程式碼建議)就可能會繼承這些缺陷。早期研究就發現, Copilot 的程式碼樣本中約有 40%存在漏洞,凸顯了提高安全意識的必要性。儘管2023 年的一項研究顯示了一些改進,但 Copilot 仍在努力修復漏洞。
解決方案
好消息是,並非沒有解決方法。將 GitHub Copilot 等 AI 工具整合到軟體開發中涉及的風險,需要轉變思維方式和採取強有力的策略來解決漏洞,以下就有一些可以在確保安全性的同時,提高工作效率的實用技巧。
- 嚴格驗證輸入:強制執行嚴格的輸入驗證,特別是對於使用者處理的數據,以防止被利用。設定規則、建立允許清單並在處理前先進行驗證。
- 安全地管理依賴關係:在整合之前驗證建議庫的安全狀態,以阻止供應鏈攻擊。 利用 OWASP Dependency-Check 或 npmaudit 等工具,進行自動依賴性分析,找出可能存在的安全問題。
- 定期進行安全評估:定期進行以安全為重點的程式碼審查和測試。 結合靜態和動態分析、軟體構成分析和手動測試,實現全面覆蓋。
- 逐步進行:在使用AI時要從非關鍵任務開始,例如產生註腳或偵錯,再逐漸增加AI的參與度。
- 檢查AI的建議:不要盲目接受AI的建議,要根據預期結果批判性地評估。
- 實驗與改進:測試各種提示並根據 Copilot 的回應改進程式碼。 透過實驗了解其優點和缺點,以獲得更好的結果。
- 隨時了解情況:不斷教育自己和團隊了解不斷變化的安全威脅和最佳實踐。 與安全社群互動、參加研討會並隨時了解最新趨勢,以有效緩解漏洞。
參考資料:The Hacker News
瀏覽 579 次