Τα εργαλεία τεχνητής νοημοσύνης (AI) που παράγουν κώδικα, όπως το GitHub Copilot και το ChatGPT, έχουν γίνει γρήγορα απαραίτητα για τους προγραμματιστές, υπόσχοντας αυξημένη παραγωγικότητα. Ωστόσο, πλήθος ερευνών αποκαλύπτει μια ανησυχητική πραγματικότητα: ο κώδικας που παράγεται από αυτά τα Μεγάλα Γλωσσικά Μοντέλα (LLMs) είναι συχνά γεμάτος με σημαντικές ευπάθειες ασφαλείας.
Μια πρόσφατη έκθεση της Veracode για την ασφάλεια του κώδικα GenAI για το 2025 διαπίστωσε ότι το 45% του κώδικα που παράγεται από AI εισάγει ευπάθειες ασφαλείας. Η μελέτη, η οποία ανέλυσε πάνω από 100 LLMs, έδειξε ότι όταν τους δίνεται η επιλογή μεταξύ ασφαλών και μη ασφαλών μεθόδων κωδικοποίησης, τα μοντέλα AI επέλεξαν τη μη ασφαλή επιλογή στο 45% των περιπτώσεων. Αυτό το πρόβλημα είναι ιδιαίτερα έντονο σε ορισμένες γλώσσες προγραμματισμού. Για παράδειγμα, ο κώδικας Java που παράγεται από AI βρέθηκε να έχει ποσοστό αποτυχίας ασφαλείας 71,5%, ενώ άλλες γλώσσες όπως η Python, η C# και η JavaScript είχαν ποσοστά αποτυχίας μεταξύ 38% και 45%.
Η βασική αιτία αυτών των ανασφαλειών έγκειται στον τρόπο εκπαίδευσης των LLMs. Αυτά τα μοντέλα εκπαιδεύονται σε τεράστιες ποσότητες δημόσια διαθέσιμου κώδικα από το διαδίκτυο, ο οποίος περιλαμβάνει ανασφαλείς πρακτικές κωδικοποίησης και γνωστές ευπάθειες. Κατά συνέπεια, η AI αναπαράγει αυτά τα ελαττωματικά μοτίβα. Οι πιο συνηθισμένες ευπάθειες που εισάγονται περιλαμβάνουν ελαττώματα που αναφέρονται στο OWASP Top 10, όπως SQL injection, cross-site scripting (XSS) και command injection. Συγκεκριμένα, τα μοντέλα απέτυχαν να προστατεύσουν από το XSS στο 86,47% των περιπτώσεων και από το log injection στο 87,97% των περιπτώσεων.
Ένας επιπλέον παράγοντας κινδύνου είναι η υπερβολική εξάρτηση και η ψευδής αίσθηση ασφάλειας που μπορεί να προκαλέσουν αυτά τα εργαλεία στους προγραμματιστές. Μια μελέτη του Πανεπιστημίου του Στάνφορντ διαπίστωσε ότι οι συμμετέχοντες με πρόσβαση σε βοηθό AI έγραψαν σημαντικά λιγότερο ασφαλή κώδικα από εκείνους που δεν είχαν. Παραδόξως, οι ίδιοι συμμετέχοντες ήταν πιο πιθανό να πιστεύουν ότι ο κώδικας που έγραψαν ήταν ασφαλής. Αυτή η υπερβολική αυτοπεποίθηση μπορεί να οδηγήσει τους προγραμματιστές να παραβλέπουν την κριτική ανασκόπηση του κώδικα, επιτρέποντας την εισαγωγή ελαττωμάτων σε περιβάλλοντα παραγωγής.
Οι ειδικοί τονίζουν ότι ενώ τα LLMs είναι ισχυρά εργαλεία για την αύξηση της παραγωγικότητας, δεν υποκαθιστούν την ανθρώπινη εμπειρογνωμοσύνη και την αυστηρή διαδικασία ελέγχου ασφαλείας. Οι προγραμματιστές πρέπει να αντιμετωπίζουν τον κώδικα που παράγεται από AI με την ίδια προσοχή που θα έδειχναν σε κώδικα από έναν άγνωστο προγραμματιστή. Η τελική ευθύνη για την ασφάλεια και την ακεραιότητα του λογισμικού παραμένει σταθερά στον άνθρωπο-προγραμματιστή, ο οποίος πρέπει να ελέγχει, να δοκιμάζει και να επικυρώνει κάθε γραμμή κώδικα πριν από την ανάπτυξη.