شمشیر دولبه هوش مصنوعی در برنامهنویسی؛ سرعت بیشتر یا بدهی امنیتی سنگینتر؟
گزارشهای جدید نشان میدهد که کدهای تولید شده توسط هوش مصنوعی (AI Slop)، در حال افزایش پایداریناپذیری سیستمها و ایجاد حفرههای امنیتی بیسابقه در سازمانها هستند.
در حالی که استفاده از مدلهای زبانی بزرگ (LLM) برای تولید کد در بین برنامهنویسان به شدت محبوب شده است، واقعیتهای اجرایی به اندازه تصورات اولیه روشن نیست. بر اساس گزارش «وضعیت توسعه نرمافزار به کمک هوش مصنوعی» که توسط تیم DORA گوگل منتشر شده، اگرچه کارایی فردی برنامهنویسان ۱۷ درصد بهبود یافته، اما ناپایداری در تحویل نرمافزار نیز نزدیک به ۱۰ درصد رشد داشته است.
بحران کد بیکیف (Code Slop) و تکثیر آسیبپذیریها: مشکل اصلی اینجاست که هوش مصنوعی تمایل دارد ایرادات موجود در پایگاههای کد آموزشی خود را بزرگنمایی کند. مت ماکای، نایبرئیس پلتفرم Digital Ocean، معتقد است که چون هوش مصنوعی حجم بسیار بالایی از کد را در زمان کوتاه تولید میکند، برنامهنویسان فرصت کافی برای بررسی دقیق (Scrutiny) خروجی را ندارند. این موضوع باعث میشود بدهیهای فنی و آسیبپذیریهای امنیتی به سرعت در کل سیستم تکثیر شوند.
آمار نگرانکننده: ۴۵ درصد کدهای هوش مصنوعی دارای نقص امنیتی هستند: تحقیقات موسسه امنیتی Veracode نشان میدهد که نرخ آسیبپذیری در کدهای تولید شده توسط هوش مصنوعی طی دو سال گذشته هیچ بهبودی نداشته و در سطح ۴۵ درصد باقی مانده است. این یعنی توسعهدهندگانی که به هوش مصنوعی تکیه میکنند، کدهایی به مراتب ضعیفتر و ناامنتر از کسانی که به صورت دستی کد مینویسند، تولید میکنند.
چالشهای کلیدی شناسایی شده توسط ۲۴ نیوز:
1. کدهای زائد و متورم(Bloat) : مدلهای هوش مصنوعی به دلیل محدودیت حافظه، محیط کل پروژه را درک نمیکنند و باعث تکرار کدهای موازی یا ایمپورت کردن بستههای تکراری میشوند که نگهداری نرمافزار را در آینده کابوسوار میکند.
2. فرسایش مالکیت کد: وقتی برنامهنویس فقط خروجی هوش مصنوعی را تایید یا رد میکند (Curating)، درک عمیق خود از منطق برنامه را از دست میدهد. این موضوع باعث میشود هنگام بروز بحران، شناسایی و رفع خطا توسط انسان دشوارتر شود.
3. تأخیر در امنیت: ساریت تگر، نایبرئیس Palo Alto Networks، میگوید: «هوش مصنوعی سرعت توسعه را بالا برده اما امنیت نتوانسته با آن همگام شود. تیمها از ترس کند شدن روند نوآوری، از اعمال قوانین پیشگیرانه خودداری میکنند».
راهکارهای کلیدی شناسایی شده توسط ۲۴ نیوز:
عبور از «کدنویسی حسی» به «مهندسی دقیق»: گزارش گوگل نشان میدهد که تنها تیمهای «عملگرا» (Pragmatic Performers) موفق شدهاند از مزایای هوش مصنوعی بدون کاهش پایداری استفاده کنند.
- چکلیست پس از حل مسئله: پس از تولید کد توسط هوش مصنوعی، باید فرآیند بازبینی اجباری وجود داشته باشد.
- درخواست بازبینی از خودِ هوش مصنوعی: برنامهنویسان باید از ابزار بخواهند: «آسیبپذیریهای احتمالی این قطعه کد را پیدا کن» یا «این کد را بهینهتر بازنویسی کن».
- استقرار ابزارهای اسکن خودکار: پیش از تایید نهایی (Commit)، کدها باید توسط ابزارهای امنیتی اسکن شوند.
هوش مصنوعی ابزاری فوقالعاده است، اما اگر بدون فرآیندهای نظارتی استفاده شود، تنها نتیجه آن «تولید سریعترِ مشکلاتِ بیشتر» خواهد بود.
برگردان و تنظیم: تحریریه ۲۴ نیوز (بهراد یوسفی)
