20 подписчиков

🤖 Копай глубже: как AI-помощники пишут уязвимый код

20 июня 202520 июн 2025

1 мин

🤖 Копай глубже: как AI-помощники пишут уязвимый код Нам обещали революцию в разработке. Но пока Copilot и другие AI-ассистенты генерируют код за секунды — они же могут открывать дверь для хакеров. 🧨 Исследование от Silviu Asandei (Sonar) показало: популярные AI-инструменты автодополнения кода нередко подсовывают небезопасные конструкции. Причём не потому, что "плохой AI", а потому что он учится на реальном, но не всегда хорошем коде из open-source 🧠 🔍 Что конкретно не так? 🧱 AI повторяет небезопасные шаблоны Если где-то в 10 тысячах GitHub-репозиториев есть copy-paste с уязвимостями, ассистент их "учтёт" — и предложит тебе как «решение». 🔐 Отсутствие контроля безопасности AI не всегда может отличить eval(user_input) от безопасного парсинга. А разработчик, доверяя “умному” помощнику, реже перепроверяет предложения. 📉 Слепая генерация — без контекста AI не знает специфики твоей системы, модели угроз или политик безопасности. Он просто... продолжает строку. ⚠️ Всплывают уязв

Нам обещали революцию в разработке. Но пока Copilot и другие AI-ассистенты генерируют код за секунды — они же могут открывать дверь для хакеров. 🧨

Исследование от Silviu Asandei (Sonar) показало: популярные AI-инструменты автодополнения кода нередко подсовывают небезопасные конструкции. Причём не потому, что "плохой AI", а потому что он учится на реальном, но не всегда хорошем коде из open-source 🧠

🔍 Что конкретно не так?

🧱 AI повторяет небезопасные шаблоны

Если где-то в 10 тысячах GitHub-репозиториев есть copy-paste с уязвимостями, ассистент их "учтёт" — и предложит тебе как «решение».

🔐 Отсутствие контроля безопасности

AI не всегда может отличить eval(user_input) от безопасного парсинга. А разработчик, доверяя “умному” помощнику, реже перепроверяет предложения.

📉 Слепая генерация — без контекста

AI не знает специфики твоей системы, модели угроз или политик безопасности. Он просто... продолжает строку.

⚠️ Всплывают уязвимости вроде XSS, SQL-инъекций, SSRF и insecure deserialization.

📌 Пример: как Copilot подставил под атаку

🤖 Разработчик просит: "Напиши API-обработчик формы регистрации пользователей".

Copilot выдаёт рабочий код, но:

➖Не экранирует поля

➖Пропускает валидацию

➖Не ставит rate-limit

🎯 Идеально для злоумышленника.

📊 Что показало исследование Sonar?

🔎 Проведён анализ кода, сгенерированного в популярных IDE

📈 Значительное число сниппетов содержат:

- небезопасные функции

- прямые обращения к

- опасным API

- отсутствие проверки прав доступа

Иными словами, автоматизация ≠ безопасная разработка

🧰 Как себя защитить?

🛠 Используйте инструменты анализа:

➖SAST (Static Application Security Testing)

➖Linter'ы с поддержкой security-правил

➖AI-критики

📚 Обучайте разработчиков:

1⃣ Не полагаться слепо на AI

2⃣ Понимать OWASP Top 10

3⃣ Ставить "контрольные точки" в пайплайнах CI/CD

🧠 Доверяй, но проверяй. Особенно если код пишется за секунду.

Stay secure and read SecureTechTalks 📚

#SecureTechTalks #AIcode #Copilot #CodeSecurity #AIrisks #DevSecOps #StaticAnalysis #Sonar #CyberSecurity #XSS #AIandIDE #OWASP #SecureByDesign #AIDangers