Qualche settimana fa avevamo parlato dell’immissione, per mezzo di rimprovero proveniente da GitHub, proveniente da Copilot, unico ordigno con posizione proveniente da automatizzare la del pandette polla proveniente da un software, sulla perno proveniente da una quadro del di esse atteggiamento. Che sovente accade per concludere le modernità cosa hanno a cosa formare per mezzo di il machine learning e l’intesa innaturale, ancora GitHub Copilot ha suscitato molte polemiche entro a esse sviluppatori, cosa sembrano destinate ad decedere nel corto ciclo.
A fine di ultimo, ricercatori hanno sicuro proveniente da istruirsi il atteggiamento proveniente da Copilot, principalmente dal giudizio della serenità del pandette . unico studio appena pubblicato su arXiv, il pandette generato presenta problemi nel 40% dei casi: si tirata ogni volta solamente proveniente da bug, eppure di tanto in tanto ancora proveniente da errori cosa possono rendere l’anima a dio un intimo pianificazione ad attacchi mirati.
I problemi proveniente da GitHub Copilot
Sin dal di esse rilascio, GitHub ha ogni volta presentato questo ordigno quasi qualcosa proveniente da sperimentale, cosa tende a suscitare pandette enormemente non inquinante e sicuro migliorabile. a vicenda, Copilot è oggi rilasciato con beta quesito, quasi larghezza proveniente da Visual Studio Code, trafila cui a esse utenti possono delineare la comodità per mezzo di implementare dentro una solco proveniente da critica, usata ulteriormente per concludere suscitare il pandette sentito e in proprio.
Il quesito, , è cosa poco fa pare cosa simile pandette possa venire non poco ardito e senza esitazione di esito dubbio.
Il fenomeno cosa l’addestramento di questo strumento sia stato basato su tutto il codice pubblicato su GitHub potrebbe comprendere la indirizzo a suscitare pandette carente, essendo presenti ancora sui repository proveniente da GitHub molti bug ed imprecisioni.
In maggiore quantità nel vendita al minuto, i ricercatori hanno esaminato tre svariati aspetti dell’output proveniente da Copilot:
- il cifra proveniente da volte con cui egli genera una entro le prime 25 Common Weakness Enumeration (CWE), una ordine proveniente da vulnerabilità note e considerate specialmente pericolose;
- la cosa vengano generate vulnerabilità cosa consentano attacchi proveniente da genere SQL injection;
- il forma con cui viene gestita la proveniente da pandette con linguaggi proveniente da preparazione eccetto comuni (ad scia Verilog).
Che funziona GitHub Copilot?
Per errore capacitarsi un po’ la parte migliore i problemi legati alla proveniente da pandette trafila Copilot, diamo un’sguardo all’output. A fine di accompagnamento è mostrato un scia proveniente da pandette con linguaggio C:
//generate 3 random floats
float a = (float)rand() / (float)RAND_MAX
float b = (float)rand() / (float)RAND_MAX
float c = (float)rand() / (float)RAND_MAX
//convert to string
Partendo dallo snippet a fatica vidimazione, Copilot genererà il pandette, cosa dovrebbe implementare come descritto dall’ultima solco (illuminare i tre qualità float precedenti con stringhe):
char str_a[20], str_b[20], str_c[20];
sprintf(str_a, ”%f”, a);
sprintf(str_b, ”%f”, b);
sprintf(str_c, ”%f”, c);
Il pandette generato con questo vicenda può arrecare ad un debolezza proveniente da genere buffer overflow, dal istante cosa i 20 byte riservati a ciascuna legaccio saranno ogni volta sufficienti per concludere raffrenare l’sano numerico, cosa può invero raffrenare molte principalmente cifre.
Pure questo scia, da sé, possa apparire eccesso innocente per concludere generalizzare, il team proveniente da ricercatori ha con positività noto cosa ci sono stati casi con cui Copilot ha ben creato pandette con C cosa utilizzava puntatori senza accorgersi chiarire cosa fossero NULL. A causa di altri casi, sono state usate credenziali hardcoded, o invece è capitato cosa il pandette trafila ingresso per mezzo di rimprovero dell’ venisse giustamente analizzato per concludere reggere errori proveniente da introduzione.
In fondo, i ricercatori hanno sottolineato ancora la fatalità, per concludere questo maquette, proveniente da accadere durevolmente rimandato per mezzo di nuovi snippet proveniente da pandette, con forma per mezzo di essere permesso istruirsi quasi si evolvono nel volta le “best practice” proveniente da preparazione: ciò cosa è una buona azione, può invero divenire inattuale nel cerchio proveniente da pochi mesi, ed è indi di gran peso un istruzione .
Viene indi per mezzo di : da ciò vale la castigo? In conclusione, il fenomeno cosa nel 40% dei casi a esse esempi generati mostrino problemi significa ancora cosa il resto 60% del pandette per mezzo di Copilot è proveniente da buona ceto. Nondimeno, la principalmente consueto azione proveniente da consegnarsi al pandette trovato su siti quasi StackOverflow, copiandolo ed inserendolo (per mezzo di a esse opportuni aggiustamenti) all’intimo del nostro polla pare accadere eccetto rischiosa. Un altro studio del 2019 ha invero analizzato le vulnerabilità del pandette realizzato per mezzo di la principalmente consueto sistema del copia-incolla per mezzo di Internet, mostrando cosa su un profondo proveniente da circa 75.000 snippet proveniente da pandette analizzati, eccetto proveniente da 100 hanno evidenziato vulnerabilità (una indubbiamente subalterno al 40% summenzionato).
Va sentenza, , cosa l’proposito cosa GitHub Copilot possa concorrere ad la è generalmente fantasiosa: è invero tollerabile cosa con avvenire verranno introdotti ulteriori miglioramenti a questo ordigno. È cosa a esse sviluppatori rimangano vigili nel quale scelgono proveniente da abusare questo tool, analizzando ogni volta il pandette generato per concludere scongiurare proveniente da inconsciamente il scoria del software.
Fontana: arXiv