Kod som skrivs med hjälp av AI-verktyg som ChatGPT och GitHub Copilot används nu i stor skala – även i säkerhetskritiska system. Samtidigt är det fortfarande oklart vem som bär ansvaret när dessa verktyg producerar kod med allvarliga sårbarheter.

En ny studie från Cornell Tech och det tyska Max Planck-institutet visar att många utvecklare som använder AI-assistans har bristande förståelse för säkerhetskonsekvenserna. Många litar blint på den genererade koden, utan att göra nödvändiga kontroller. Enligt forskarna används AI-kod i allt från webbapplikationer till infrastrukturprojekt – trots att verktygen kan generera farliga misstag, exempelvis felaktig hantering av inloggning, bristfällig kryptering eller sårbara API-anrop.

Användningen sker ofta i stressade miljöer där utvecklare prioriterar snabb leverans. Resultatet är att AI-genererad kod införs direkt i skarpa system – utan granskning, utan tester, och i vissa fall utan att den mänskliga utvecklaren förstår vad koden egentligen gör.

Ingen ansvarig

Forskarnas största kritik riktas dock inte mot utvecklarna, utan mot teknikföretagen. OpenAI, Google, Microsoft och andra aktörer som står bakom de stora språkmodellerna lägger hela ansvaret på användaren. Samtidigt har de kommersialiserat sina verktyg och uppmuntrar utvecklare att integrera AI i sina arbetsflöden.

Det har lett till en situation där ingen egentligen är ansvarig om AI-genererad kod leder till säkerhetsincidenter. Det saknas också reglering kring hur dessa verktyg får användas i kritisk mjukvara – och någon kvalitetskontroll existerar inte.

Enligt forskarna krävs nu både tekniska förbättringar och politiska åtgärder. Verktygen behöver varningssystem som markerar riskabel kod och användare måste utbildas i säkerhetsbedömning. Men framför allt behövs tydligare regler för ansvarsfördelning – och transparens kring hur verktygen fungerar och tränats.

Huvudkälla: Help Net Security