AI kan kode hurtigere end mennesker, men ikke uden risici
Foto: Markus Spiske, Pexels.
AI kan kode hurtigere end mennesker, men hastighed indebærer samtidig vidtrækkende risici.
Ifølge udviklerne er det ikke advarselssignaler, der mangler og sikkerhedsrisiciene er ikke abstrakte, men “meget reelle risici”
Med AI vokser sikkerhedsrisiciene
Koder generet af kunstig intelligens (AI) er blevet dagligt inventar for digitale udviklere. De nye digitale værktøjer har gjort det meget nemmere at skrive lange kode, men samtidig er sikkerhedsrisiciene vokset, med et fortsat behov for menneskeligt kontrol, da fejlene står i kø.
Sikkerhedstestfirmaet Veracode offentliggjorde i juli 2025 en forskningsrapport, hvor man havde indsamlet resultater fra mere end 100 AI-værktøjer til store sprogmodeller (LLM). Studiet viste, at mens AI genererer koder med en forbløffende hastighed, er de samtidig fyldt med potentiale for cyberangreb.
45 procent af kodeprøverne bestod ikke sikkerhedstestene og introducerede sårbarheder, der er beskrevet af den nonprofit organisation for cybersikkerhed, Open Worldwide Application Security Project.
Java var det mest risikable kodesprog med en sikkerhedsfejlrate på 72 % på tværs af opgaverne. Andre større sprogmodeller klarede sig ikke meget bedre: C#: 45 %; Python: 38 %; JavaScript: 43%
Mens nyere AI modeller er blevet bedre til at skrive funktionelt eller syntaktisk korrekte koder, var de ikke blevet bedre til at skrive en sikker kode. Sikkerhedsydeevnen forblev flad, uanset modelstørrelse eller avanceret træning.
Det særlig bekymrende er, at selvom du ikke bruger GenAI, er du stadig i udsat, for AI-sprogkoder bliver ikke kun skrevet af dit team. Sprogkoderne bliver nemlig også skrevet af: Vedligeholdere af open source-software; Tredjeparts leverandører; Platforme med simple koder eller ingen koder samt Outsourcede entreprenører, der bruger GenAI bag kulisserne.
Forskere kaldte studiets resultater for et “wake-up call for udviklere, sikkerhedschefer og alle, der er afhængige af AI for at flytte sig hurtigere.”
Eksperter er ikke chokerede
Ikke alle eksperter er chokerede over det høje antal sikkerhedsfejl i betragtning af AI’s nuværende begrænsninger med kodning.
“Jeg er overrasket over, at procentdelen ikke er højere. AI-genereret kode, selv når den virker, har en tendens til at have en masse logiske fejl, der simpelthen afspejler en mangel på kontekst og omtanke,” fortæller Kirk Sigmon, programmør og partner hos advokatfirmaet Banner Witcoff, til The Epoch Times i en artikel fra den 14. september.
Cybersikkerhedsforsker og tidligere missionsoperatør for Iris Lunar Rover, Harshvardhan Chunawala, sammenligner AI-kodeskrivning med et boligbyggeri: Det er som at få AI til at udarbejde en hurtig plan for et hus, men planen kan omfatte døre, der ikke låser, vinduer, der ikke passer, eller ledninger, der er ikke er sikre.
Systemet laver ikke længere kun “tegninger”, men bestiller materialer og begynder at bygge, før en inspektion af fundament har fundet sted. “En menneskelig arkitekt skal stadig tjekke alle detaljer, før ‘huset’ er sikkert at bo i,” sagde Chunawala til The Epoch Times.
AI hallucinerer
AI-hallucinationer har allerede skabt overskrifter i forhold til de problemer, de kan skabe. Et studie fra Stanford og Yale (Matthew Dahl et al. 2024) observerede, at LLM’er (store sprogmodeller) havde en “hallucinationsrate” mellem 69 procent og 88 procent, baseret på svar på specifikke juridiske forespørgsler.
Studiet fandt at LLM-ydeevnen “forringes, når man beskæftiger sig med mere komplekse opgaver, der kræver en nuanceret forståelse af juridiske spørgsmål eller fortolkning af juridiske tekster.”
ChatGPT 3.5 hallucinerede 69 procent af tiden, når de stod over for juridiske spørgsmål. Med PaLM 2 steg hallucinationsraten til 72 procent, og med Llama 2 steg den til 88 procent. Se også mere HER.
I en nylig side-by-side-sammenligning af nogle af de største LLM-produkter viste at Lama 4 Maverick og Claude 3.7 Sonet havde den laveste “hallucinationsrate” på omkring 17 procent. De øvrige LLM produkter gik fra 23 % til 45 %.
Den manglende tillid
AI har været en game-changer for kodeskrivning. Hvor udviklere engang brugte timer på at opsætte skelettet til et program eller skrive gentagne testcases, kan AI nu udarbejde dem på få minutter. Men den nyfundne hastighed kommer med en betydelig udfordring: Tillid.
“AI genererer ofte kode, der ser fejlfri ud ved første øjekast, men når du undersøger den nøje, opdager du huller i logikken, forældede metoder eller subtile fejl, der kan kompromittere sikkerheden,” fortæller Chunawala til Epoch Times.
Ifølge cybersikkerhedsekspert, Nick Nikiforakis er AI god til at skrive “standardkoder”: “Det er ikke svært at skrive; Det er gentagende, og alligevel er det noget, der er nødvendigt. AI udmærker sig ved at producere den slags kode, som kan bruges med minimale ændringer, forudsat at prompten indeholdt alle de rigtige specifikationer.” Men “vibe-kodning” kan skabe et farligt scenarie.
Vibe kodning
“Vibe-kodning” er opfundet af AI-forsker Andrej Karpathy og er en metode i softwareudvikling, der bruger LLM-værktøjer til at generere kode fra naturlige sprogprompter, hvor udvikleren fokuserer på mål, feedback og eksperimentering i stedet for at gennemgå eller redigere selve AI-koden.
Vibe-kodning er blevet synonymt med ideen om, at en menneskelig udvikler bare kan stole på, at AI gør det rigtigt, mens han forbliver fokuseret på det større billede, men det er temmelig problematisk.
Som Nikiforakis fortæller, så vil det være en “opskrift på katastrofe,” hvis vibe-kodet software bliver populær.
Chunawala understreger til Epoch Times, at sikkerhedssårbarhederne ikke er abstrakte, men “meget reelle risici”, hvor en manglende rensning af brugerinput, kan tillade ondsindede kommandoer i at snige sig ind. En anden sikkerhedsrisiko med AI-genereret kode er afhængigheden af forældede “biblioteker”, som hackere allerede ved, hvordan de skal udnytte.
“Dette skyldes, at AI er trænet på enorme mængder offentlig kodning, og meget af den offentlige kodning indeholder allerede fejl,” og Chunawala tilføjer: “Modellen skelner ikke mellem bedste praksis og dårlig praksis; den gengiver begge dele. Uden grundig menneskelig gennemgang og rækværk går disse svage punkter direkte ind i produktionssystemerne.”
Menneskelige kodere og softwareudviklere mister i disse år job til AI i et stigende tempo. Et studie fra Federal Reserve of St. Louis viser, at jobopslag for softwareudviklere har været faldende siden 2022.
I en virkeligheden er der brug for et team til at gennemgå alt, hvad AI bygger. Men det er beslutninger der typisk ikke træffes af de mennesker, der forstår teknologien.
Læs mere her:
