Aprenda A Fazer Um Hambúrguer Vegetariano Delicioso

Assim como você provavelmente não cultiva e mói trigo para fazer farinha para o seu pão, a maioria dos desenvolvedores de software não escrevem todas as linhas de código em um novo projeto do zero. Fazer isso seria extremamente lento e poderia criar mais problemas de segurança do que resolver. Portanto, os desenvolvedores contam com bibliotecas existentes – muitas vezes projetos de código aberto – para obter vários componentes básicos de software em funcionamento.
Embora essa abordagem seja eficiente, ela pode criar exposição e falta de visibilidade no software. Cada vez mais, porém, o surgimento da codificação de vibrações está sendo usada de maneira semelhante, permitindo que os desenvolvedores gerem rapidamente código que eles podem simplesmente adaptar em vez de escrever do zero. No entanto, os pesquisadores de segurança alertam que esse novo gênero de código plug-and-play está tornando a segurança da cadeia de suprimentos de software ainda mais complicada e perigosa.
“Estamos atingindo o momento em que a IA está prestes a perder seu período de graça em segurança”, diz Alex Zenla, diretor de tecnologia da firma de segurança em nuvem Edera. “E a IA é sua própria pior inimiga em termos de gerar código inseguro. Se a IA está sendo treinada em parte em software antigo, vulnerável ou de baixa qualidade disponível por aí, então todas as vulnerabilidades que existiam podem ocorrer novamente e ser reintroduzidas, sem mencionar novas questões.”
Além de absorver dados de treinamento potencialmente inseguros, a realidade da codificação de vibração é que ela produz um rascunho inicial de código que pode não levar em consideração totalmente todo o contexto específico e considerações em torno de um determinado produto ou serviço. Em outras palavras, mesmo que uma empresa treine um modelo local no código-fonte de um projeto e em uma descrição em linguagem natural de objetivos, o processo de produção ainda depende da capacidade dos revisores humanos de identificar qualquer possível defeito ou incongruência no código originalmente gerado pela IA.
“Grupos de engenharia precisam pensar sobre o ciclo de desenvolvimento na era da codificação de vibração”, diz Eran Kinsbruner, pesquisador da empresa de segurança de aplicativos Checkmarx. “Se você pedir para o mesmo modelo LLM escrever para o seu código-fonte específico, toda vez ele terá uma saída ligeiramente diferente. Um desenvolvedor da equipe vai gerar uma saída e outro desenvolvedor vai obter uma saída diferente. Isso introduz uma complicação adicional além do código aberto.”
Em uma pesquisa da Checkmarx com diretores de segurança da informação, gerentes de segurança de aplicativos e chefes de desenvolvimento, um terço dos entrevistados disse que mais de 60% do código de suas organizações foi gerado por IA em 2024. Mas apenas 18% disseram que sua organização possui uma lista de ferramentas aprovadas para codificação de vibrações. Checkmarx entrevistou milhares de profissionais e publicou os resultados em agosto – enfatizando também que o desenvolvimento de IA está dificultando rastrear a “propriedade” do código.