Offcanvas

������ ������������

스택 오버플로우 복붙보다 나쁘다? ‘AI 생성 코드’를 믿을 수 없는 이유

깃허브 코파일럿, 탭나인 등의 AI 기반 도구는 개발자가 코드를 더 빠르게 작성하도록 돕는 자동완성 제안을 지원한다. 하지만 이렇게 생성된 코드가 안전하다고 어떻게 믿을 수 있을까?  2021년 6월, 깃허브가 코드 자동완성 도구 ‘코파일럿’을 출시했을 때 많은 개발자는 이 도구가 ‘내 마음을 읽고 코드를 더 빨리 쓸 수 있도록 도와준다’라며 놀라움을 감추지 못했다. 코파일럿은 누군가가 쓴 변수 이름과 주석을 기반으로 다음에 무엇이 올지 제안한다. 이는 코드 줄 또는 개발자가 작성 방법을 모를 수도 있는 전체 함수를 제공한다.    하지만 개발자가 확인하지 않고 이러한 제안을 사용하면 보안 취약점이 발생할 수 있다. 美 뉴욕대학교의 탠던 공대 연구진에 따르면 코파일럿을 테스트한 결과 이 도구가 생성한 코드의 40%에서 취약점이 발견됐다. 연구진은 알려진 취약점을 자동으로 찾아내는 깃허브의 코드QL(CodeQL)을 사용하여 (코파일럿이 생성한) 코드를 확인했고, ‘2021년 CWE 가장 위험한 소프트웨어 취약점 25개(2021 Top 25 Most Dangerous Software Weakness)’ 목록에 포함된 SQL 주입 취약점 또는 결함을 발견했다. 또 베리로그(Verilog) 등의 도메인 특정 언어의 경우 구문적으로 정확하고 의미 있는 코드를 생성하는 데 어려움을 겪었다고 언급했다.  이러한 문제의 대부분은 코파일럿이 구축된 방식에서 비롯된다. 첫째, 이 모델은 깃허브에 게시된 코드를 학습했는데, 이러한 코드의 상당 부분은 검증되지 않았다. 둘째, 오픈소스 리포지토리에는 충분한 경계를 구축하지 않고 입력 및 동작을 검사하는 많은 반복 코드 패턴이 포함될 수 있다. 코파일럿은 패턴이 빈번할수록 더 널리 사용되고, 따라서 안전하다는 가정하에 이러한 패턴을 제안한다. 셋째, 생성된 코드는 컴파일되지 않고, 잠재적인 보안 문제가 없는지 확인되지도 않는다. 아울러 연구진은 누군가의 리포지토리에 실수로 남겨진 일부 기밀...

깃허브 깃허브 코파일럿 AI 머신러닝 코드 자동완성 개발자 탭나인 인공지능 프로그래밍

2022.03.23

깃허브 코파일럿, 탭나인 등의 AI 기반 도구는 개발자가 코드를 더 빠르게 작성하도록 돕는 자동완성 제안을 지원한다. 하지만 이렇게 생성된 코드가 안전하다고 어떻게 믿을 수 있을까?  2021년 6월, 깃허브가 코드 자동완성 도구 ‘코파일럿’을 출시했을 때 많은 개발자는 이 도구가 ‘내 마음을 읽고 코드를 더 빨리 쓸 수 있도록 도와준다’라며 놀라움을 감추지 못했다. 코파일럿은 누군가가 쓴 변수 이름과 주석을 기반으로 다음에 무엇이 올지 제안한다. 이는 코드 줄 또는 개발자가 작성 방법을 모를 수도 있는 전체 함수를 제공한다.    하지만 개발자가 확인하지 않고 이러한 제안을 사용하면 보안 취약점이 발생할 수 있다. 美 뉴욕대학교의 탠던 공대 연구진에 따르면 코파일럿을 테스트한 결과 이 도구가 생성한 코드의 40%에서 취약점이 발견됐다. 연구진은 알려진 취약점을 자동으로 찾아내는 깃허브의 코드QL(CodeQL)을 사용하여 (코파일럿이 생성한) 코드를 확인했고, ‘2021년 CWE 가장 위험한 소프트웨어 취약점 25개(2021 Top 25 Most Dangerous Software Weakness)’ 목록에 포함된 SQL 주입 취약점 또는 결함을 발견했다. 또 베리로그(Verilog) 등의 도메인 특정 언어의 경우 구문적으로 정확하고 의미 있는 코드를 생성하는 데 어려움을 겪었다고 언급했다.  이러한 문제의 대부분은 코파일럿이 구축된 방식에서 비롯된다. 첫째, 이 모델은 깃허브에 게시된 코드를 학습했는데, 이러한 코드의 상당 부분은 검증되지 않았다. 둘째, 오픈소스 리포지토리에는 충분한 경계를 구축하지 않고 입력 및 동작을 검사하는 많은 반복 코드 패턴이 포함될 수 있다. 코파일럿은 패턴이 빈번할수록 더 널리 사용되고, 따라서 안전하다는 가정하에 이러한 패턴을 제안한다. 셋째, 생성된 코드는 컴파일되지 않고, 잠재적인 보안 문제가 없는지 확인되지도 않는다. 아울러 연구진은 누군가의 리포지토리에 실수로 남겨진 일부 기밀...

2022.03.23

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13