- AI によって生成されたコードは、セキュリティ監視メカニズムよりも速く成長します
- 手動レビューは機械生成ソフトウェアに追いつくのに苦労しています
- セキュリティリーダーは、開発パイプラインを通じて広がる安全でないコーディングパターンを懸念しています
AI コーディング アシスタントは、セキュリティ フレームワークが適応するよりも早く、開発チーム全体に広がりました。
Salt Security の新しい調査によると、現在、セキュリティ リーダーの 90% が、AI 生成ソフトウェアによってもたらされるリスクについて積極的な懸念を報告していると報告されています。
しかし、組織は AI ツールを導入し続けています。これは、コーディング タスクを高速化し、反復作業に費やす時間を削減し、ソフトウェアの配信速度を向上させるためです。
人間によるレビューでは AI のスピードに対応できない
セキュリティのリーダーたちは、AI が主流になる前に設計された開発方法では適切な監視が提供できない可能性があると考えています。
回答者のほぼ 3 分の 1 (29%) が、AI アシスタントによってもたらされる主なリスクとして安全でないコーディング パターンを挙げました。
これらのシステムは、独自の欠陥や時代遅れの手法を含む大規模なトレーニング セットから学習します。
AI ツールは、人間が発見する可能性のある脆弱性を静かに再現しながら、完全に機能するように見えるコードを生成できます。
この問題は、シグネチャ データベースの成長よりも早く新しい脅威が出現するため、ウイルス対策ソフトウェアが常に設定を更新する必要があるのと似ています。
ここでの違いは、AI が再現する可能性のあるすべての危険なパターンを中央当局が監視しているわけではないということです。AI に対する不安が広がっているにもかかわらず、組織の 3 分の 1 以上が依然として、リリース前に手動によるコード レビューに依存しているためです。
AI がどのチームも徹底的にテストできない量のコードを生成する場合、人によるテストに依存することは構造的に問題になります。
この方法は、開発者が人間の速度でソフトウェアを作成した場合には機能しましたが、AI によって出力が大幅に高速化されると失敗します。
テスターの疲労はすぐに始まり、チームは一貫性のない標準を適用し、セキュリティ要件は部門間で解釈が異なります。
AI コーディング アシスタントはソフトウェアの構築方法を根本的に変えていますが、政府はそれに追いついていません」と、Salt Security の CEO 兼共同創設者の Rui Eliyahu 氏は述べています。
「ほとんどの組織はリスクを認識していますが、多くの組織は依然として AI 以前の世界向けに設計されたセキュリティ プロセスを使用して AI 生成コードを管理しようとしています。」
このアプローチは、フィルタリングや自動化を行わずに、単一の電子メール受信トレイを使用して毎日何百万ものメッセージを処理することよりも拡張性が優れています。
組織の複雑さにより執行が困難になる
従業員 500 人を超える大規模組織は、小規模企業には存在しないガバナンスの課題に直面しています。
分散したチームはさまざまなツールを使用し、多様なワークフローに従い、地域間で一貫性のない厳密さのセキュリティ標準を適用します。
開発者が AI アシスタントに過度に依存するリスクは、チームの規模と配信のプレッシャーに比例して増加します。
政府のサイバーセキュリティ機関を含むセキュリティ機関は過去に、人工知能システムが攻撃対象領域を拡大し、責任構造を著しく複雑にしていると警告してきた。
AI が生成したコードがパイプラインに入る場所をより適切に把握できなければ、ガバナンスはプロセスを推測したままになります。
AI コーディング アシスタントをソフトウェア サプライ チェーンのコンポーネントとして扱うことは、サードパーティのマルウェア リスクをチェックするのと同様であり、手動レビューで何とか追いつくことを期待するよりも、より現実的な方法を提供します。
Google ニュースで TechRadar をフォローしてください そして お気に入りのソースとして追加してください 専門ニュース、レビュー、意見をフィードで入手するため。
