- Vấn đề bảo mật
- Công ty an ninh mạng Mỹ Snyk đã khảo sát 537 thành viên và lãnh đạo của các nhóm kỹ thuật phần mềm và bảo mật
- 91,6% người trả lời: “Công cụ lập trình AI đôi khi tạo ra các đề xuất mã không an toàn”
- 80% người trả lời: “Các nhà phát triển trong tổ chức đang lách các chính sách bảo mật AI”
- 25% người trả lời: “Sử dụng công cụ quét tự động để kiểm tra tính bảo mật của các thành phần mã nguồn mở có trong đề xuất mã của AI”
- Có ít người thực hiện các biện pháp phù hợp để bảo đảm thư viện mã nguồn mở là an toàn
- Theo Snyk, GitHub Copilot tạo các đoạn mã bằng cách học các mẫu và cấu trúc từ các kho mã hiện có
- Khi đó, mã có thể sao chép các lỗ hổng bảo mật hiện có hoặc các thực hành sai nằm trong các tệp lân cận
- Cần tìm mã có rủi ro bảo mật bằng kiểm tra bảo mật tự động và rà soát mã, đồng thời xem xét độ an toàn của các công cụ AI tạo mã
- Vấn đề chất lượng mã
- Nhận định của Bernd Greifeneder, nhà sáng lập kiêm CTO của công ty observability Mỹ Dynatrace
- Cho đến nay, AI được huấn luyện từ các nguồn tốt do con người tuyển chọn trên những trang như Stack Overflow
- Trong tương lai, nếu các nhà phát triển dùng nhiều mã do AI tạo hơn, động lực cập nhật các trang như vậy có thể suy yếu
- Việc nhà phát triển sao chép và dán các đoạn mã để tăng tốc độ triển khai được xem là một thực hành không tốt
- Điều này làm giảm khả năng bảo trì, đồng thời làm tăng nguy cơ lỗi hoặc lỗ hổng bị sao chép hoặc bị bỏ sót
- Công cụ AI tạo mã tự động hóa quy trình sao chép/dán đó với tốc độ rất cao
- Tổ chức cần tăng cường các thực hành phát triển nhằm phân tích kỹ, kiểm thử mã do AI tạo và tuân thủ các tiêu chuẩn chất lượng và bảo mật
- Áp dụng các nguyên tắc ‘clean code’ cho mã do AI tạo
- Cần bảo đảm chất lượng mã bằng cách kiểm thử và phân tích để ‘clean code’ thực sự được triển khai ở phiên bản cuối cùng của mã do AI tạo
- Vấn đề bản quyền
- Các công cụ như Copilot tạo mã bằng cách tái cấu trúc mã đầu vào
- Những công cụ này có thể đối mặt với các vấn đề về bản quyền và giấy phép mã nguồn mở phát sinh từ dữ liệu huấn luyện dùng để huấn luyện mô hình AI và từ mã đầu ra do mô hình đã huấn luyện tạo ra
- Phân tích của hãng luật toàn cầu Finnegan:
- Công cụ AI tạo mã có thể đề xuất các bản sao của mã được dùng để huấn luyện mô hình AI nền tảng
- GitHub cũng thừa nhận rằng “đôi khi mã do Copilot tạo ra trích dẫn mã nguồn mở công khai mà nó đã được huấn luyện từ đó”
- Theo điều tra nội bộ của GitHub, xác suất là rất thấp, chỉ 1%, nhưng Copilot có thể tạo mã chứa một số khối mã trùng khớp chính xác với mã huấn luyện
- Giấy phép của mã nguồn mở có thể cũng được áp dụng cho mã được phát triển bằng Copilot
- Nếu lặp lại việc sử dụng mã có áp dụng giấy phép mã nguồn mở trong mã được tạo bởi công cụ AI tạo mã, việc sử dụng đoạn mã đó có thể cấu thành vi phạm bản quyền nếu không tuân theo các điều kiện của giấy phép mã nguồn mở như ghi công tác giả hoặc phân phối
- Do thiếu khả năng truy vết đối với mã do công cụ AI tạo mã đề xuất, không có cách nào để biết ngay liệu “mã được tạo có chứa mã lặp lại có thể vi phạm các điều kiện giấy phép mã nguồn mở ban đầu hay không”
- Cần rà soát thủ công mã do AI tạo để kiểm tra các đoạn mã phổ biến đã biết
- Cần sử dụng công cụ quét mã để kiểm tra mã có áp dụng giấy phép mã nguồn mở
Chưa có bình luận nào.