Vibe Security Radar do Systems Software & Security Lab (SSLab) tại Georgia Tech xây dựng để theo dõi mã do AI tạo có thể gây lỗ hổng. Trợ lý nghiên cứu Hanqing Zhao cho biết trước đây chưa có ai theo dõi những mẫu lỗ hổng này một cách hệ thống.
Nhóm quét các cơ sở dữ liệu lỗ hổng công khai, xác định lỗi cho mỗi lỗ hổng và xem lịch sử mã để tìm ai đã đưa lỗi vào. Công cụ đã xác nhận 74 trường hợp, trong đó 14 trường hợp được gán nhãn critical và 25 trường hợp là high. Các lỗi gồm command injection, authentication bypass và server-side request forgery.
Radar dùng siêu dữ liệu như thẻ đồng tác giả, email bot và chữ ký công cụ để gắn cờ, nhưng không thể phát hiện khi siêu dữ liệu bị xóa. Vì vậy nhóm đang phát triển phương pháp phát hiện theo hành vi dựa trên mẫu đặt tên biến, cấu trúc hàm và xử lý lỗi trong mã do AI viết.
Zhao nhắc rằng mã do AI tạo cần được rà soát kỹ; xem nó như một yêu cầu thay đổi từ lập trình viên mới, nhất là phần xử lý đầu vào và xác thực. SSLab khuyên cung cấp prompt chi tiết và dùng công cụ kiểm tra mã sinh ra để tìm lỗ hổng.
Từ khó
- lỗ hổng — lỗi trong phần mềm gây rủi ro bảo mật
- siêu dữ liệu — thông tin mô tả dữ liệu khác, giúp nhận biết
- theo dõi — quan sát và kiểm tra liên tục một thứ
- xác định — tìm và nêu rõ chi tiết về vấn đề
- xác thực — kiểm tra để chứng minh danh tính người dùng
- rà soát — kiểm tra kỹ để tìm lỗi hoặc vấn đề
- gắn cờ — đánh dấu một mục để chú ý sau này
Mẹo: di chuột, dùng phím Tab hoặc chạm vào các từ được tô sáng trong bài để xem định nghĩa nhanh ngay khi bạn đọc hoặc nghe.
Câu hỏi thảo luận
- Bạn có đồng ý rằng nên xem mã do AI tạo như một yêu cầu thay đổi từ lập trình viên mới? Tại sao?
- Nhóm đang phát triển phát hiện theo hành vi dựa trên mẫu đặt tên biến và cấu trúc hàm. Bạn nghĩ phương pháp này có thể giúp tìm lỗ hổng thế nào?
- Khi bạn dùng công cụ tạo mã bằng AI, bạn sẽ làm gì để giảm rủi ro lỗ hổng trong mã?
