近日一組研究人員發(fā)現(xiàn)，GitHub Copilot 語言模型生成的程序中，大約 40% 存在漏洞，因此很容易受到不法分子的攻擊。

[[421076]]

這個(gè)人工智能模型目前可以在 Visual Studio Code 中使用，它能依據(jù)上下文在編輯器中直接推薦代碼，其目的是被設(shè)計(jì)用來幫助程序員更快速地完成他們的工作。為了達(dá)成這個(gè)目標(biāo)，Copilot 此前已在公開可用的開源代碼上進(jìn)行了訓(xùn)練，目前已支持了幾十種編程語言，其中包括 Go、JavaScript、Python、Ruby 和 TypeScript 等。

一個(gè)由五名研究人員組成的研究小組為 Copilot 創(chuàng)建了 89 個(gè)不同的場景，并生成了 1692 個(gè)程序。通過嚴(yán)格而詳細(xì)的科學(xué)分析，研究人員最終得出「大約 40% 的程序包含可以被攻擊者利用的錯(cuò)誤或設(shè)計(jì)缺陷」。

研究人員表示：

換句話說，之所以會(huì)有這個(gè)高的比例，是因?yàn)槿斯ぶ悄鼙旧砭褪窃诰哂新┒吹拇a上進(jìn)行訓(xùn)練的。用大家更容易理解話來表達(dá)，就有點(diǎn)“種瓜得瓜，種豆得豆”的意思。

通過此次研究發(fā)現(xiàn)，Copilot 最常遇到的錯(cuò)誤包括越界寫入和讀取、跨站腳本、操作系統(tǒng)命令注入、不適當(dāng)?shù)妮斎腧?yàn)證、SQL 注入、UAF、路徑遍歷、不受限制的文件上傳、缺少認(rèn)證等等。

此次研究表明，雖然 Copilot 能在一定程度上幫助開發(fā)者更快地構(gòu)建代碼，但很明顯，開發(fā)者在使用該工具時(shí)應(yīng)該保持警惕。因此建議開發(fā)者在使用過程中引入其他安全工具來降低產(chǎn)生安全漏洞的可能。