AI イノベーションのメリットを享受できるかどうかは、安全なコードから始めることにかかっています
ソフトウェア開発者は、ジェネレーティブ人工知能 (AI) を利用してコードを書く準備ができており、進んで利用する意志があることを示しており、概ね好調な結果が得られています。しかし、危険なゲームをしている可能性があるという兆候もたくさんあります。
最近によると GitHub による調査、米国の開発者の90%以上がAIコーディングツールを使用しており、完了時間の短縮、インシデントの迅速な解決、より協調的な環境などの利点を挙げています。これは重要だと感じています。AI ツールを使うことで、開発者はルーチンタスクを引き継ぐことができるため、会社に利益をもたらす、よりクリエイティブな仕事に取り組むことができるようになり、偶然ではなく、仕事中の燃え尽き症候群の可能性が減ります。
ただし、研究により、AIツールには次のような傾向があることも示されています 欠陥を導入する コードを書くとき。A スナイクによる調査 回答者の 75.8% がAIコードは人間のコードよりも安全だと答えたものの、56.4%がAIがコーディングの問題を引き起こすことがあると認めていることがわかりました。驚くべきことに、回答者の 80% が開発中に AI コードのセキュリティポリシーを迂回していると答えています。
オープンAI以来 GPT チャット 2022年11月に登場したジェネレーティブAIモデルの使用は、他の多くの分野と同様に、金融サービスのコード開発プロセス全体に急速に普及しています。他にも次のようなモデルが急速に登場しています。 GitHub コパイロット、 オープンAIコーデックス、および 増え続けるリスト 他の人の中には、ジェネレーティブAIができることとそれがもたらす影響のほんの一部しかないという意見もあります。しかし、その影響がプラスになるためには、生成されるコードが安全であることを確認する必要があります。
コーディングのバグはすぐに広がる可能性があります
人間の開発者によって作成されたものであれ、AIモデルによって作成されたものであれ、コードは いくつかのエラーを含む。高度に分散されたクラウドベースのコンピューティング環境における増え続ける要求を満たすために、AI がコード開発を加速するのに役立っているため、不良コードが発見される前に広く伝播する可能性が高まる可能性があります。
コードを書くように訓練されたAIモデルは、さまざまなタスクを実行する何千ものコード例を取り込み、それらの例を利用して独自のコードを作成できます。しかし、処理対象のサンプルに欠陥や脆弱性が含まれている場合、それがもともと人間によって作成されたものであれ、別の人工知能によって作成されたものであれ、モデルはそれらの欠陥を新しい環境に移す可能性があります。
検討中 研究によるとわかっています AIモデルは、使用しているコードの欠陥を確実に認識できないため、欠陥や脆弱性の拡散に対する組み込みの防御策はほとんどありません。AIはコーディングのミスを犯すだけでなく、将来どこかで脆弱性が特定されるまで、おそらく自社が開発したソフトウェアを使用している企業への侵害が成功するという形で、自身や他のソースのミスを繰り返します。
コーディングの欠陥が蔓延するのを防ぐ真の防御策は、人間とAIモデルが連携することです。人間の開発者は AI コードの記述を監督し、安全でないコーディング手法や脆弱なコードに対するチェックの役割を果たすべきです。しかし、そのためには、開発者がAIが犯す可能性のあるコーディングミスを特定して迅速に修正できるように、安全なコード作成のベストプラクティスについて徹底したトレーニングを受ける必要があります。
AI コードの作成と修正の課題
ChatGPTのような大規模言語モデル (LLM) が突然爆発的に増加したことは、諸刃の剣のようなものでした。一方では、時間と手間がかかる、または困難な雑用を AI を使って処理することで、企業や日常ユーザーの生産性が大幅に向上しました。一方で、AIに仕事を任せようとやみくもに信頼した場合に、何がうまくいかないかの例はたくさんあります。
AIモデルが作った 明白な間違い、バイアスを示して制作した 完全な幻覚。多くの場合、問題の根源は不十分または無責任なトレーニングデータでした。どのAIモデルも、そのトレーニングに使用したデータによって品質が決まるため、トレーニングデータは包括的で慎重に吟味されていることが不可欠です。ただし、それでもいくつかの間違いは犯されます。
コーディングにAIを使用することは、同じハードルの多くに直面します。AI によって生成されたコードには、クロスサイトスクリプティングやコードインジェクションに対する脆弱性や、AI や機械学習 (ML) に特有の次のような攻撃など、さまざまな欠陥が含まれていることが明らかになっています。 プロンプト注入。また、AI モデルはプロセスが透明でないためにブラックボックス内で動作し、セキュリティチームや開発チームが AI がどのように結論に達したかを見ることができません。その結果、モデルは同じミスを何度も繰り返す可能性があります。コード作成に影響する可能性があるのと同じ欠点が、AI の使用にも引き継がれます。 コード修復 そしてコンプライアンス要件を満たしています。
AIモデルによって欠陥が生み出されたり繰り返されたりする可能性が高まり、LLMが独自のオープンWebアプリケーションセキュリティプロジェクト(OWASP)リストを持つようになりました。 上位 10 件の脆弱性。
開発者とAIが協力して安全なコードを作成できます
AI で生成されたコードに潜在的な欠陥があるという懸念から、一部の組織は、一時的ではあるが、テクノロジーの導入を断念するかもしれない。しかし、特にAI開発者がモデルの革新と改善を続けている中で、その潜在的なメリットは無視できないほど大きいです。たとえば、金融サービス業界は、この魔力を取り戻す可能性は低いでしょう。銀行や金融サービス企業はすでにテクノロジー主導型になっており、常に競争上の優位性を求めている分野で事業を展開しています。
重要なのは、リスクを最小限に抑える方法でAIモデルを実装することです。つまり、セキュリティを意識し、安全なコーディングのベストプラクティスについて十分なトレーニングを受けた開発者がいるということです。そうすれば、開発者は安全なコードを自分で作成し、AI モデルが生成するコードを綿密に監視できます。AIエンジンと人間の開発者が緊密なパートナーシップのもとで協力し、開発者が最終決定権を持つことで、企業は生産性と効率性の向上のメリットを享受できると同時に、セキュリティの向上、リスクの軽減、コンプライアンスの確保も実現できます。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされたSecure Code Warriorガイドをご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
확인해 주세요 시큐어 코드 워리어 블로그 페이지에서는 사이버 보안, 즉 점점 더 위험해지는 위협 환경에 대한 통찰력을 깊이 있게 살펴보고, 혁신적인 기술과 교육을 도입하여 조직과 고객을 더 잘 보호하는 방법을 배울 수 있습니다.
ジェネレーティブAIは、金融サービス企業に多くの利点をもたらすだけでなく、多くの潜在的なリスクももたらします。セキュリティのベストプラクティスを開発者に教え、それを AI モデルと組み合わせることで、最初から安全なコードを作成できます。
시큐어 코드 워리어는 개발자가 기술을 향상시킬수록 보안 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 보안 기술을 갖춘 개발자가 연결된 세상에서 일상적으로 슈퍼히어로가 될 수 있도록, 각 코더가 원하는 학습 경로로 안내합니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
시큐어 코드 워리어는 개발자가 기술을 향상시킬수록 보안 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 보안 기술을 갖춘 개발자가 연결된 세상에서 일상적으로 슈퍼히어로가 될 수 있도록, 각 코더가 원하는 학습 경로로 안내합니다.
이 글은 Secure Code Warrior의 업계 전문가 팀이 작성했습니다. 개발자가 처음부터 안전한 소프트웨어를 구축하기 위한 지식과 기술을 습득하는 것을 목표로 합니다. 보안 코딩 실천에 관한 깊은 전문 지식, 업계 동향, 현실 세계의 통찰력을 활용하고 있습니다.
ソフトウェア開発者は、ジェネレーティブ人工知能 (AI) を利用してコードを書く準備ができており、進んで利用する意志があることを示しており、概ね好調な結果が得られています。しかし、危険なゲームをしている可能性があるという兆候もたくさんあります。
最近によると GitHub による調査、米国の開発者の90%以上がAIコーディングツールを使用しており、完了時間の短縮、インシデントの迅速な解決、より協調的な環境などの利点を挙げています。これは重要だと感じています。AI ツールを使うことで、開発者はルーチンタスクを引き継ぐことができるため、会社に利益をもたらす、よりクリエイティブな仕事に取り組むことができるようになり、偶然ではなく、仕事中の燃え尽き症候群の可能性が減ります。
ただし、研究により、AIツールには次のような傾向があることも示されています 欠陥を導入する コードを書くとき。A スナイクによる調査 回答者の 75.8% がAIコードは人間のコードよりも安全だと答えたものの、56.4%がAIがコーディングの問題を引き起こすことがあると認めていることがわかりました。驚くべきことに、回答者の 80% が開発中に AI コードのセキュリティポリシーを迂回していると答えています。
オープンAI以来 GPT チャット 2022年11月に登場したジェネレーティブAIモデルの使用は、他の多くの分野と同様に、金融サービスのコード開発プロセス全体に急速に普及しています。他にも次のようなモデルが急速に登場しています。 GitHub コパイロット、 オープンAIコーデックス、および 増え続けるリスト 他の人の中には、ジェネレーティブAIができることとそれがもたらす影響のほんの一部しかないという意見もあります。しかし、その影響がプラスになるためには、生成されるコードが安全であることを確認する必要があります。
コーディングのバグはすぐに広がる可能性があります
人間の開発者によって作成されたものであれ、AIモデルによって作成されたものであれ、コードは いくつかのエラーを含む。高度に分散されたクラウドベースのコンピューティング環境における増え続ける要求を満たすために、AI がコード開発を加速するのに役立っているため、不良コードが発見される前に広く伝播する可能性が高まる可能性があります。
コードを書くように訓練されたAIモデルは、さまざまなタスクを実行する何千ものコード例を取り込み、それらの例を利用して独自のコードを作成できます。しかし、処理対象のサンプルに欠陥や脆弱性が含まれている場合、それがもともと人間によって作成されたものであれ、別の人工知能によって作成されたものであれ、モデルはそれらの欠陥を新しい環境に移す可能性があります。
検討中 研究によるとわかっています AIモデルは、使用しているコードの欠陥を確実に認識できないため、欠陥や脆弱性の拡散に対する組み込みの防御策はほとんどありません。AIはコーディングのミスを犯すだけでなく、将来どこかで脆弱性が特定されるまで、おそらく自社が開発したソフトウェアを使用している企業への侵害が成功するという形で、自身や他のソースのミスを繰り返します。
コーディングの欠陥が蔓延するのを防ぐ真の防御策は、人間とAIモデルが連携することです。人間の開発者は AI コードの記述を監督し、安全でないコーディング手法や脆弱なコードに対するチェックの役割を果たすべきです。しかし、そのためには、開発者がAIが犯す可能性のあるコーディングミスを特定して迅速に修正できるように、安全なコード作成のベストプラクティスについて徹底したトレーニングを受ける必要があります。
AI コードの作成と修正の課題
ChatGPTのような大規模言語モデル (LLM) が突然爆発的に増加したことは、諸刃の剣のようなものでした。一方では、時間と手間がかかる、または困難な雑用を AI を使って処理することで、企業や日常ユーザーの生産性が大幅に向上しました。一方で、AIに仕事を任せようとやみくもに信頼した場合に、何がうまくいかないかの例はたくさんあります。
AIモデルが作った 明白な間違い、バイアスを示して制作した 完全な幻覚。多くの場合、問題の根源は不十分または無責任なトレーニングデータでした。どのAIモデルも、そのトレーニングに使用したデータによって品質が決まるため、トレーニングデータは包括的で慎重に吟味されていることが不可欠です。ただし、それでもいくつかの間違いは犯されます。
コーディングにAIを使用することは、同じハードルの多くに直面します。AI によって生成されたコードには、クロスサイトスクリプティングやコードインジェクションに対する脆弱性や、AI や機械学習 (ML) に特有の次のような攻撃など、さまざまな欠陥が含まれていることが明らかになっています。 プロンプト注入。また、AI モデルはプロセスが透明でないためにブラックボックス内で動作し、セキュリティチームや開発チームが AI がどのように結論に達したかを見ることができません。その結果、モデルは同じミスを何度も繰り返す可能性があります。コード作成に影響する可能性があるのと同じ欠点が、AI の使用にも引き継がれます。 コード修復 そしてコンプライアンス要件を満たしています。
AIモデルによって欠陥が生み出されたり繰り返されたりする可能性が高まり、LLMが独自のオープンWebアプリケーションセキュリティプロジェクト(OWASP)リストを持つようになりました。 上位 10 件の脆弱性。
開発者とAIが協力して安全なコードを作成できます
AI で生成されたコードに潜在的な欠陥があるという懸念から、一部の組織は、一時的ではあるが、テクノロジーの導入を断念するかもしれない。しかし、特にAI開発者がモデルの革新と改善を続けている中で、その潜在的なメリットは無視できないほど大きいです。たとえば、金融サービス業界は、この魔力を取り戻す可能性は低いでしょう。銀行や金融サービス企業はすでにテクノロジー主導型になっており、常に競争上の優位性を求めている分野で事業を展開しています。
重要なのは、リスクを最小限に抑える方法でAIモデルを実装することです。つまり、セキュリティを意識し、安全なコーディングのベストプラクティスについて十分なトレーニングを受けた開発者がいるということです。そうすれば、開発者は安全なコードを自分で作成し、AI モデルが生成するコードを綿密に監視できます。AIエンジンと人間の開発者が緊密なパートナーシップのもとで協力し、開発者が最終決定権を持つことで、企業は生産性と効率性の向上のメリットを享受できると同時に、セキュリティの向上、リスクの軽減、コンプライアンスの確保も実現できます。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされたSecure Code Warriorガイドをご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
확인해 주세요 시큐어 코드 워리어 블로그 페이지에서는 사이버 보안, 즉 점점 더 위험해지는 위협 환경에 대한 통찰력을 깊이 있게 살펴보고, 혁신적인 기술과 교육을 도입하여 조직과 고객을 더 잘 보호하는 방법을 배울 수 있습니다.
ソフトウェア開発者は、ジェネレーティブ人工知能 (AI) を利用してコードを書く準備ができており、進んで利用する意志があることを示しており、概ね好調な結果が得られています。しかし、危険なゲームをしている可能性があるという兆候もたくさんあります。
最近によると GitHub による調査、米国の開発者の90%以上がAIコーディングツールを使用しており、完了時間の短縮、インシデントの迅速な解決、より協調的な環境などの利点を挙げています。これは重要だと感じています。AI ツールを使うことで、開発者はルーチンタスクを引き継ぐことができるため、会社に利益をもたらす、よりクリエイティブな仕事に取り組むことができるようになり、偶然ではなく、仕事中の燃え尽き症候群の可能性が減ります。
ただし、研究により、AIツールには次のような傾向があることも示されています 欠陥を導入する コードを書くとき。A スナイクによる調査 回答者の 75.8% がAIコードは人間のコードよりも安全だと答えたものの、56.4%がAIがコーディングの問題を引き起こすことがあると認めていることがわかりました。驚くべきことに、回答者の 80% が開発中に AI コードのセキュリティポリシーを迂回していると答えています。
オープンAI以来 GPT チャット 2022年11月に登場したジェネレーティブAIモデルの使用は、他の多くの分野と同様に、金融サービスのコード開発プロセス全体に急速に普及しています。他にも次のようなモデルが急速に登場しています。 GitHub コパイロット、 オープンAIコーデックス、および 増え続けるリスト 他の人の中には、ジェネレーティブAIができることとそれがもたらす影響のほんの一部しかないという意見もあります。しかし、その影響がプラスになるためには、生成されるコードが安全であることを確認する必要があります。
コーディングのバグはすぐに広がる可能性があります
人間の開発者によって作成されたものであれ、AIモデルによって作成されたものであれ、コードは いくつかのエラーを含む。高度に分散されたクラウドベースのコンピューティング環境における増え続ける要求を満たすために、AI がコード開発を加速するのに役立っているため、不良コードが発見される前に広く伝播する可能性が高まる可能性があります。
コードを書くように訓練されたAIモデルは、さまざまなタスクを実行する何千ものコード例を取り込み、それらの例を利用して独自のコードを作成できます。しかし、処理対象のサンプルに欠陥や脆弱性が含まれている場合、それがもともと人間によって作成されたものであれ、別の人工知能によって作成されたものであれ、モデルはそれらの欠陥を新しい環境に移す可能性があります。
検討中 研究によるとわかっています AIモデルは、使用しているコードの欠陥を確実に認識できないため、欠陥や脆弱性の拡散に対する組み込みの防御策はほとんどありません。AIはコーディングのミスを犯すだけでなく、将来どこかで脆弱性が特定されるまで、おそらく自社が開発したソフトウェアを使用している企業への侵害が成功するという形で、自身や他のソースのミスを繰り返します。
コーディングの欠陥が蔓延するのを防ぐ真の防御策は、人間とAIモデルが連携することです。人間の開発者は AI コードの記述を監督し、安全でないコーディング手法や脆弱なコードに対するチェックの役割を果たすべきです。しかし、そのためには、開発者がAIが犯す可能性のあるコーディングミスを特定して迅速に修正できるように、安全なコード作成のベストプラクティスについて徹底したトレーニングを受ける必要があります。
AI コードの作成と修正の課題
ChatGPTのような大規模言語モデル (LLM) が突然爆発的に増加したことは、諸刃の剣のようなものでした。一方では、時間と手間がかかる、または困難な雑用を AI を使って処理することで、企業や日常ユーザーの生産性が大幅に向上しました。一方で、AIに仕事を任せようとやみくもに信頼した場合に、何がうまくいかないかの例はたくさんあります。
AIモデルが作った 明白な間違い、バイアスを示して制作した 完全な幻覚。多くの場合、問題の根源は不十分または無責任なトレーニングデータでした。どのAIモデルも、そのトレーニングに使用したデータによって品質が決まるため、トレーニングデータは包括的で慎重に吟味されていることが不可欠です。ただし、それでもいくつかの間違いは犯されます。
コーディングにAIを使用することは、同じハードルの多くに直面します。AI によって生成されたコードには、クロスサイトスクリプティングやコードインジェクションに対する脆弱性や、AI や機械学習 (ML) に特有の次のような攻撃など、さまざまな欠陥が含まれていることが明らかになっています。 プロンプト注入。また、AI モデルはプロセスが透明でないためにブラックボックス内で動作し、セキュリティチームや開発チームが AI がどのように結論に達したかを見ることができません。その結果、モデルは同じミスを何度も繰り返す可能性があります。コード作成に影響する可能性があるのと同じ欠点が、AI の使用にも引き継がれます。 コード修復 そしてコンプライアンス要件を満たしています。
AIモデルによって欠陥が生み出されたり繰り返されたりする可能性が高まり、LLMが独自のオープンWebアプリケーションセキュリティプロジェクト(OWASP)リストを持つようになりました。 上位 10 件の脆弱性。
開発者とAIが協力して安全なコードを作成できます
AI で生成されたコードに潜在的な欠陥があるという懸念から、一部の組織は、一時的ではあるが、テクノロジーの導入を断念するかもしれない。しかし、特にAI開発者がモデルの革新と改善を続けている中で、その潜在的なメリットは無視できないほど大きいです。たとえば、金融サービス業界は、この魔力を取り戻す可能性は低いでしょう。銀行や金融サービス企業はすでにテクノロジー主導型になっており、常に競争上の優位性を求めている分野で事業を展開しています。
重要なのは、リスクを最小限に抑える方法でAIモデルを実装することです。つまり、セキュリティを意識し、安全なコーディングのベストプラクティスについて十分なトレーニングを受けた開発者がいるということです。そうすれば、開発者は安全なコードを自分で作成し、AI モデルが生成するコードを綿密に監視できます。AIエンジンと人間の開発者が緊密なパートナーシップのもとで協力し、開発者が最終決定権を持つことで、企業は生産性と効率性の向上のメリットを享受できると同時に、セキュリティの向上、リスクの軽減、コンプライアンスの確保も実現できます。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされたSecure Code Warriorガイドをご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
확인해 주세요 시큐어 코드 워리어 블로그 페이지에서는 사이버 보안, 즉 점점 더 위험해지는 위협 환경에 대한 통찰력을 깊이 있게 살펴보고, 혁신적인 기술과 교육을 도입하여 조직과 고객을 더 잘 보호하는 방법을 배울 수 있습니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
시큐어 코드 워리어는 개발자가 기술을 향상시킬수록 보안 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 보안 기술을 갖춘 개발자가 연결된 세상에서 일상적으로 슈퍼히어로가 될 수 있도록, 각 코더가 원하는 학습 경로로 안내합니다.
이 글은 Secure Code Warrior의 업계 전문가 팀이 작성했습니다. 개발자가 처음부터 안전한 소프트웨어를 구축하기 위한 지식과 기술을 습득하는 것을 목표로 합니다. 보안 코딩 실천에 관한 깊은 전문 지식, 업계 동향, 현실 세계의 통찰력을 활용하고 있습니다.
ソフトウェア開発者は、ジェネレーティブ人工知能 (AI) を利用してコードを書く準備ができており、進んで利用する意志があることを示しており、概ね好調な結果が得られています。しかし、危険なゲームをしている可能性があるという兆候もたくさんあります。
最近によると GitHub による調査、米国の開発者の90%以上がAIコーディングツールを使用しており、完了時間の短縮、インシデントの迅速な解決、より協調的な環境などの利点を挙げています。これは重要だと感じています。AI ツールを使うことで、開発者はルーチンタスクを引き継ぐことができるため、会社に利益をもたらす、よりクリエイティブな仕事に取り組むことができるようになり、偶然ではなく、仕事中の燃え尽き症候群の可能性が減ります。
ただし、研究により、AIツールには次のような傾向があることも示されています 欠陥を導入する コードを書くとき。A スナイクによる調査 回答者の 75.8% がAIコードは人間のコードよりも安全だと答えたものの、56.4%がAIがコーディングの問題を引き起こすことがあると認めていることがわかりました。驚くべきことに、回答者の 80% が開発中に AI コードのセキュリティポリシーを迂回していると答えています。
オープンAI以来 GPT チャット 2022年11月に登場したジェネレーティブAIモデルの使用は、他の多くの分野と同様に、金融サービスのコード開発プロセス全体に急速に普及しています。他にも次のようなモデルが急速に登場しています。 GitHub コパイロット、 オープンAIコーデックス、および 増え続けるリスト 他の人の中には、ジェネレーティブAIができることとそれがもたらす影響のほんの一部しかないという意見もあります。しかし、その影響がプラスになるためには、生成されるコードが安全であることを確認する必要があります。
コーディングのバグはすぐに広がる可能性があります
人間の開発者によって作成されたものであれ、AIモデルによって作成されたものであれ、コードは いくつかのエラーを含む。高度に分散されたクラウドベースのコンピューティング環境における増え続ける要求を満たすために、AI がコード開発を加速するのに役立っているため、不良コードが発見される前に広く伝播する可能性が高まる可能性があります。
コードを書くように訓練されたAIモデルは、さまざまなタスクを実行する何千ものコード例を取り込み、それらの例を利用して独自のコードを作成できます。しかし、処理対象のサンプルに欠陥や脆弱性が含まれている場合、それがもともと人間によって作成されたものであれ、別の人工知能によって作成されたものであれ、モデルはそれらの欠陥を新しい環境に移す可能性があります。
検討中 研究によるとわかっています AIモデルは、使用しているコードの欠陥を確実に認識できないため、欠陥や脆弱性の拡散に対する組み込みの防御策はほとんどありません。AIはコーディングのミスを犯すだけでなく、将来どこかで脆弱性が特定されるまで、おそらく自社が開発したソフトウェアを使用している企業への侵害が成功するという形で、自身や他のソースのミスを繰り返します。
コーディングの欠陥が蔓延するのを防ぐ真の防御策は、人間とAIモデルが連携することです。人間の開発者は AI コードの記述を監督し、安全でないコーディング手法や脆弱なコードに対するチェックの役割を果たすべきです。しかし、そのためには、開発者がAIが犯す可能性のあるコーディングミスを特定して迅速に修正できるように、安全なコード作成のベストプラクティスについて徹底したトレーニングを受ける必要があります。
AI コードの作成と修正の課題
ChatGPTのような大規模言語モデル (LLM) が突然爆発的に増加したことは、諸刃の剣のようなものでした。一方では、時間と手間がかかる、または困難な雑用を AI を使って処理することで、企業や日常ユーザーの生産性が大幅に向上しました。一方で、AIに仕事を任せようとやみくもに信頼した場合に、何がうまくいかないかの例はたくさんあります。
AIモデルが作った 明白な間違い、バイアスを示して制作した 完全な幻覚。多くの場合、問題の根源は不十分または無責任なトレーニングデータでした。どのAIモデルも、そのトレーニングに使用したデータによって品質が決まるため、トレーニングデータは包括的で慎重に吟味されていることが不可欠です。ただし、それでもいくつかの間違いは犯されます。
コーディングにAIを使用することは、同じハードルの多くに直面します。AI によって生成されたコードには、クロスサイトスクリプティングやコードインジェクションに対する脆弱性や、AI や機械学習 (ML) に特有の次のような攻撃など、さまざまな欠陥が含まれていることが明らかになっています。 プロンプト注入。また、AI モデルはプロセスが透明でないためにブラックボックス内で動作し、セキュリティチームや開発チームが AI がどのように結論に達したかを見ることができません。その結果、モデルは同じミスを何度も繰り返す可能性があります。コード作成に影響する可能性があるのと同じ欠点が、AI の使用にも引き継がれます。 コード修復 そしてコンプライアンス要件を満たしています。
AIモデルによって欠陥が生み出されたり繰り返されたりする可能性が高まり、LLMが独自のオープンWebアプリケーションセキュリティプロジェクト(OWASP)リストを持つようになりました。 上位 10 件の脆弱性。
開発者とAIが協力して安全なコードを作成できます
AI で生成されたコードに潜在的な欠陥があるという懸念から、一部の組織は、一時的ではあるが、テクノロジーの導入を断念するかもしれない。しかし、特にAI開発者がモデルの革新と改善を続けている中で、その潜在的なメリットは無視できないほど大きいです。たとえば、金融サービス業界は、この魔力を取り戻す可能性は低いでしょう。銀行や金融サービス企業はすでにテクノロジー主導型になっており、常に競争上の優位性を求めている分野で事業を展開しています。
重要なのは、リスクを最小限に抑える方法でAIモデルを実装することです。つまり、セキュリティを意識し、安全なコーディングのベストプラクティスについて十分なトレーニングを受けた開発者がいるということです。そうすれば、開発者は安全なコードを自分で作成し、AI モデルが生成するコードを綿密に監視できます。AIエンジンと人間の開発者が緊密なパートナーシップのもとで協力し、開発者が最終決定権を持つことで、企業は生産性と効率性の向上のメリットを享受できると同時に、セキュリティの向上、リスクの軽減、コンプライアンスの確保も実現できます。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされたSecure Code Warriorガイドをご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
확인해 주세요 시큐어 코드 워리어 블로그 페이지에서는 사이버 보안, 즉 점점 더 위험해지는 위협 환경에 대한 통찰력을 깊이 있게 살펴보고, 혁신적인 기술과 교육을 도입하여 조직과 고객을 더 잘 보호하는 방법을 배울 수 있습니다.
목차
시큐어 코드 워리어는 개발자가 기술을 향상시킬수록 보안 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 보안 기술을 갖춘 개발자가 연결된 세상에서 일상적으로 슈퍼히어로가 될 수 있도록, 각 코더가 원하는 학습 경로로 안내합니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약[다운로드]
%20(1).avif)
.avif)
