Veilig coderen in het tijdperk van Copilots

Het 'RoguePilot' risico

‍AI schrijft momenteel tot 60% van de bedrijfscode. Tools zoals GitHub Copilot en ChatGPT hebben een revolutie teweeggebracht in de productiviteit van ontwikkelaars, maar ze zijn ook 'onveiligheidsvermenigvuldigers' geworden. Recente onderzoeken tonen aan dat bijna 45% van de door AI gegenereerde code beveiligingszwakheden bevat.

Waarom AI onveilige code schrijft‍

AI begrijpt beveiliging niet; het begrijpt frequentie. Als het is getraind op miljoenen repositories die onveilige authenticatiepatronen bevatten, zal het dezelfde patronen aan uw ontwikkelaars voorstellen.

• The authentication trap: AI suggereert vaak een 'standaard' inlogcode die niet de juiste salt/hashing of rate-limiting bevat.
• The dependency nightmare: AI kan voorstellen om verouderde bibliotheken met bekende CVE's (Common Vulnerabilities and Exposures) te gebruiken, simpelweg omdat die bibliotheken populair waren toen het model werd getraind.

Woolves: de AI auditor

Bij Woolves behandelen we door AI gegenereerde code als onbeheerde code van derden. Het moet even nauwkeurig worden gecontroleerd als een gastbijdrage. We helpen organisaties bij het identificeren van de 'syntactisch perfecte, maar logisch catastrofale' code die AI-assistenten achterlaten.

Snelheid is zinloos als je daardoor rechtstreeks in een overtreding terechtkomt. Check je AI, voordat aanvallers dat doen.

‍