ディープダイブ:AI コーディングアシスタントによって生成された脆弱性の解決
どこを見ても、ほぼすべての業種でAIテクノロジーへのこだわりが続いています。ソフトウェア開発における迅速な機能作成への答えとして称賛される人もいますが、スピードの向上には代償が伴います。ツール自体からのコンテキスト認識の欠如と、ツール自体からのコンテキスト認識の欠如により、重大なセキュリティバグがコードベースに侵入する可能性と、生産性を高め、困難な開発シナリオへの回答を生み出すためにツールに依存する開発者の低レベルのセキュリティスキルです。
Large Language Model(LLM)テクノロジーは、支援ツールに大きな変化をもたらし、安全に使用すれば、多くのソフトウェアエンジニアが切望するペアプログラミングのお供になり得ます。しかし、AI 開発ツールを放置して使用すると、悪影響が生じる可能性があることがすぐにわかりました。 2023年の調査 スタンフォード大学によると、AIアシスタントに依存すると、出力が安全であるという信頼が高まるだけでなく、コード全体がバグが多く安全性が低下する可能性が高いことが明らかになりました。
完璧なLLMテクノロジーへの競争が進むにつれ、ツールは今後も改善されると考えても妥当ですが、次のような推奨事項が数多くあります。 新しい行政命令 バイデン政権から、また 人工知能法 EUからのもの-いずれにせよその使用は難しい道です。開発者は、コードレベルのセキュリティスキル、認識、AI ツールの出力に関する批判的思考を磨くことで有利なスタートを切ることができ、ひいてはより高い水準のエンジニアになることができます。
AIコーディングアシスタントはどのようにして脆弱性をもたらすのか? 新しいパブリックミッションをプレイしよう そして自分の目で確かめてください!
例:「ChatterGPT」のクロスサイトスクリプティング (XSS)
私たちの新しいパブリックミッションでは、人気のLLMの使い慣れたインターフェースを明らかにし、活用しています リアル 2023年11月下旬に生成されたコードスニペット。ユーザーはこのスニペットを解釈して、意図した目的に使用された場合の潜在的なセキュリティ上の落とし穴を調査できます。
「pHTML要素の内容を変更するJavaScript関数を書いて、その関数を介して内容を渡すことはできますか?」というプロンプトに基づいています。AI アシスタントはコードブロックを忠実に生成しますが、すべてが見かけどおりではありません。
このチャレンジはもうプレイしましたか?そうでない場合は、 今すぐ試す さらに読む前に。
... さて、これで完了したので、問題のコードがクロスサイトスクリプティング(XSS)に脆弱であることがわかります。
XSS は Web ブラウザーのコア機能を操作することで可能になります。これは、信頼できない入力がページ上の出力としてレンダリングされても、実行可能で安全なコードとして誤って解釈される場合に発生する可能性があります。攻撃者は、入力パラメータ内に悪質なスニペット (HTML タグ、JavaScript など) を配置し、ブラウザに返されたときに、データとして表示される代わりに実行される可能性があります。
ソフトウェア開発におけるAIコーディングアシスタントの安全な使用
A 最近の調査 現役開発チームのほぼ全員(96%)がワークフローでAIアシスタントを使い始めており、80%がセキュリティポリシーを迂回してツールキットに留めていると回答しています。さらに、半数以上が、ジェネレーティブAIツールは一般的に安全でないコードを生成すると回答しましたが、それでも採用が遅くなることはありませんでした。
このソフトウェア開発プロセスの新時代では、これらのツールの使用を思いとどまらせたり禁止したりすることはうまくいきそうにありません。その代わり、組織は開発チームがセキュリティやコード品質を犠牲にすることなく、効率性と生産性の向上を活用できるようにする必要があります。そのためには、セキュア・コーディングのベスト・プラクティスに関する正確なトレーニングと、クリティカル・シンキングのスキルを高める機会を提供し、特にAIアシスタント・コード出力の潜在的な脅威を評価する際に、セキュリティ第一の考え方で行動できるようにする必要があります。
さらに読む
XSS全般については、こちらをご覧ください 総合ガイド。
安全なコードの書き方についてもっと知りたいですか? リスクを軽減?私たちを試してみてください XSS インジェクションチャレンジ無料。
無料のコーディングガイドラインをもっと入手したい場合は、チェックしてください セキュア・コード・コーチ 安全なコーディングのベストプラクティスを常に把握するのに役立ちます。
.avif)
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
ローラ・ヴェルハイデは、Secure Code Warriorのソフトウェア開発者であり、ミッションラボとコーディングラボ向けの脆弱性調査とコンテンツ作成に注力しています。
どこを見ても、ほぼすべての業種でAIテクノロジーへのこだわりが続いています。ソフトウェア開発における迅速な機能作成への答えとして称賛される人もいますが、スピードの向上には代償が伴います。ツール自体からのコンテキスト認識の欠如と、ツール自体からのコンテキスト認識の欠如により、重大なセキュリティバグがコードベースに侵入する可能性と、生産性を高め、困難な開発シナリオへの回答を生み出すためにツールに依存する開発者の低レベルのセキュリティスキルです。
Large Language Model(LLM)テクノロジーは、支援ツールに大きな変化をもたらし、安全に使用すれば、多くのソフトウェアエンジニアが切望するペアプログラミングのお供になり得ます。しかし、AI 開発ツールを放置して使用すると、悪影響が生じる可能性があることがすぐにわかりました。 2023年の調査 スタンフォード大学によると、AIアシスタントに依存すると、出力が安全であるという信頼が高まるだけでなく、コード全体がバグが多く安全性が低下する可能性が高いことが明らかになりました。
完璧なLLMテクノロジーへの競争が進むにつれ、ツールは今後も改善されると考えても妥当ですが、次のような推奨事項が数多くあります。 新しい行政命令 バイデン政権から、また 人工知能法 EUからのもの-いずれにせよその使用は難しい道です。開発者は、コードレベルのセキュリティスキル、認識、AI ツールの出力に関する批判的思考を磨くことで有利なスタートを切ることができ、ひいてはより高い水準のエンジニアになることができます。
AIコーディングアシスタントはどのようにして脆弱性をもたらすのか? 新しいパブリックミッションをプレイしよう そして自分の目で確かめてください!
例:「ChatterGPT」のクロスサイトスクリプティング (XSS)
私たちの新しいパブリックミッションでは、人気のLLMの使い慣れたインターフェースを明らかにし、活用しています リアル 2023年11月下旬に生成されたコードスニペット。ユーザーはこのスニペットを解釈して、意図した目的に使用された場合の潜在的なセキュリティ上の落とし穴を調査できます。
「pHTML要素の内容を変更するJavaScript関数を書いて、その関数を介して内容を渡すことはできますか?」というプロンプトに基づいています。AI アシスタントはコードブロックを忠実に生成しますが、すべてが見かけどおりではありません。
このチャレンジはもうプレイしましたか?そうでない場合は、 今すぐ試す さらに読む前に。
... さて、これで完了したので、問題のコードがクロスサイトスクリプティング(XSS)に脆弱であることがわかります。
XSS は Web ブラウザーのコア機能を操作することで可能になります。これは、信頼できない入力がページ上の出力としてレンダリングされても、実行可能で安全なコードとして誤って解釈される場合に発生する可能性があります。攻撃者は、入力パラメータ内に悪質なスニペット (HTML タグ、JavaScript など) を配置し、ブラウザに返されたときに、データとして表示される代わりに実行される可能性があります。
ソフトウェア開発におけるAIコーディングアシスタントの安全な使用
A 最近の調査 現役開発チームのほぼ全員(96%)がワークフローでAIアシスタントを使い始めており、80%がセキュリティポリシーを迂回してツールキットに留めていると回答しています。さらに、半数以上が、ジェネレーティブAIツールは一般的に安全でないコードを生成すると回答しましたが、それでも採用が遅くなることはありませんでした。
このソフトウェア開発プロセスの新時代では、これらのツールの使用を思いとどまらせたり禁止したりすることはうまくいきそうにありません。その代わり、組織は開発チームがセキュリティやコード品質を犠牲にすることなく、効率性と生産性の向上を活用できるようにする必要があります。そのためには、セキュア・コーディングのベスト・プラクティスに関する正確なトレーニングと、クリティカル・シンキングのスキルを高める機会を提供し、特にAIアシスタント・コード出力の潜在的な脅威を評価する際に、セキュリティ第一の考え方で行動できるようにする必要があります。
さらに読む
XSS全般については、こちらをご覧ください 総合ガイド。
安全なコードの書き方についてもっと知りたいですか? リスクを軽減?私たちを試してみてください XSS インジェクションチャレンジ無料。
無料のコーディングガイドラインをもっと入手したい場合は、チェックしてください セキュア・コード・コーチ 安全なコーディングのベストプラクティスを常に把握するのに役立ちます。
どこを見ても、ほぼすべての業種でAIテクノロジーへのこだわりが続いています。ソフトウェア開発における迅速な機能作成への答えとして称賛される人もいますが、スピードの向上には代償が伴います。ツール自体からのコンテキスト認識の欠如と、ツール自体からのコンテキスト認識の欠如により、重大なセキュリティバグがコードベースに侵入する可能性と、生産性を高め、困難な開発シナリオへの回答を生み出すためにツールに依存する開発者の低レベルのセキュリティスキルです。
Large Language Model(LLM)テクノロジーは、支援ツールに大きな変化をもたらし、安全に使用すれば、多くのソフトウェアエンジニアが切望するペアプログラミングのお供になり得ます。しかし、AI 開発ツールを放置して使用すると、悪影響が生じる可能性があることがすぐにわかりました。 2023年の調査 スタンフォード大学によると、AIアシスタントに依存すると、出力が安全であるという信頼が高まるだけでなく、コード全体がバグが多く安全性が低下する可能性が高いことが明らかになりました。
完璧なLLMテクノロジーへの競争が進むにつれ、ツールは今後も改善されると考えても妥当ですが、次のような推奨事項が数多くあります。 新しい行政命令 バイデン政権から、また 人工知能法 EUからのもの-いずれにせよその使用は難しい道です。開発者は、コードレベルのセキュリティスキル、認識、AI ツールの出力に関する批判的思考を磨くことで有利なスタートを切ることができ、ひいてはより高い水準のエンジニアになることができます。
AIコーディングアシスタントはどのようにして脆弱性をもたらすのか? 新しいパブリックミッションをプレイしよう そして自分の目で確かめてください!
例:「ChatterGPT」のクロスサイトスクリプティング (XSS)
私たちの新しいパブリックミッションでは、人気のLLMの使い慣れたインターフェースを明らかにし、活用しています リアル 2023年11月下旬に生成されたコードスニペット。ユーザーはこのスニペットを解釈して、意図した目的に使用された場合の潜在的なセキュリティ上の落とし穴を調査できます。
「pHTML要素の内容を変更するJavaScript関数を書いて、その関数を介して内容を渡すことはできますか?」というプロンプトに基づいています。AI アシスタントはコードブロックを忠実に生成しますが、すべてが見かけどおりではありません。
このチャレンジはもうプレイしましたか?そうでない場合は、 今すぐ試す さらに読む前に。
... さて、これで完了したので、問題のコードがクロスサイトスクリプティング(XSS)に脆弱であることがわかります。
XSS は Web ブラウザーのコア機能を操作することで可能になります。これは、信頼できない入力がページ上の出力としてレンダリングされても、実行可能で安全なコードとして誤って解釈される場合に発生する可能性があります。攻撃者は、入力パラメータ内に悪質なスニペット (HTML タグ、JavaScript など) を配置し、ブラウザに返されたときに、データとして表示される代わりに実行される可能性があります。
ソフトウェア開発におけるAIコーディングアシスタントの安全な使用
A 最近の調査 現役開発チームのほぼ全員(96%)がワークフローでAIアシスタントを使い始めており、80%がセキュリティポリシーを迂回してツールキットに留めていると回答しています。さらに、半数以上が、ジェネレーティブAIツールは一般的に安全でないコードを生成すると回答しましたが、それでも採用が遅くなることはありませんでした。
このソフトウェア開発プロセスの新時代では、これらのツールの使用を思いとどまらせたり禁止したりすることはうまくいきそうにありません。その代わり、組織は開発チームがセキュリティやコード品質を犠牲にすることなく、効率性と生産性の向上を活用できるようにする必要があります。そのためには、セキュア・コーディングのベスト・プラクティスに関する正確なトレーニングと、クリティカル・シンキングのスキルを高める機会を提供し、特にAIアシスタント・コード出力の潜在的な脅威を評価する際に、セキュリティ第一の考え方で行動できるようにする必要があります。
さらに読む
XSS全般については、こちらをご覧ください 総合ガイド。
安全なコードの書き方についてもっと知りたいですか? リスクを軽減?私たちを試してみてください XSS インジェクションチャレンジ無料。
無料のコーディングガイドラインをもっと入手したい場合は、チェックしてください セキュア・コード・コーチ 安全なコーディングのベストプラクティスを常に把握するのに役立ちます。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
AIコーディングアシスタントはどのようにして脆弱性をもたらすのか?新しい公開ミッションをプレイして、自分の目で確かめてください!このミッションでは、2023 年 11 月下旬に生成された実際のコードスニペットを使用して、人気の LLM の使い慣れたインターフェイスを公開します。ユーザーはこのスニペットを解釈して、意図した目的に使用された場合の潜在的なセキュリティ上の落とし穴を調査できます。
ミッションに挑戦ローラ・ヴェルハイデは、Secure Code Warriorのソフトウェア開発者であり、ミッションラボとコーディングラボ向けの脆弱性調査とコンテンツ作成に注力しています。
どこを見ても、ほぼすべての業種でAIテクノロジーへのこだわりが続いています。ソフトウェア開発における迅速な機能作成への答えとして称賛される人もいますが、スピードの向上には代償が伴います。ツール自体からのコンテキスト認識の欠如と、ツール自体からのコンテキスト認識の欠如により、重大なセキュリティバグがコードベースに侵入する可能性と、生産性を高め、困難な開発シナリオへの回答を生み出すためにツールに依存する開発者の低レベルのセキュリティスキルです。
Large Language Model(LLM)テクノロジーは、支援ツールに大きな変化をもたらし、安全に使用すれば、多くのソフトウェアエンジニアが切望するペアプログラミングのお供になり得ます。しかし、AI 開発ツールを放置して使用すると、悪影響が生じる可能性があることがすぐにわかりました。 2023年の調査 スタンフォード大学によると、AIアシスタントに依存すると、出力が安全であるという信頼が高まるだけでなく、コード全体がバグが多く安全性が低下する可能性が高いことが明らかになりました。
完璧なLLMテクノロジーへの競争が進むにつれ、ツールは今後も改善されると考えても妥当ですが、次のような推奨事項が数多くあります。 新しい行政命令 バイデン政権から、また 人工知能法 EUからのもの-いずれにせよその使用は難しい道です。開発者は、コードレベルのセキュリティスキル、認識、AI ツールの出力に関する批判的思考を磨くことで有利なスタートを切ることができ、ひいてはより高い水準のエンジニアになることができます。
AIコーディングアシスタントはどのようにして脆弱性をもたらすのか? 新しいパブリックミッションをプレイしよう そして自分の目で確かめてください!
例:「ChatterGPT」のクロスサイトスクリプティング (XSS)
私たちの新しいパブリックミッションでは、人気のLLMの使い慣れたインターフェースを明らかにし、活用しています リアル 2023年11月下旬に生成されたコードスニペット。ユーザーはこのスニペットを解釈して、意図した目的に使用された場合の潜在的なセキュリティ上の落とし穴を調査できます。
「pHTML要素の内容を変更するJavaScript関数を書いて、その関数を介して内容を渡すことはできますか?」というプロンプトに基づいています。AI アシスタントはコードブロックを忠実に生成しますが、すべてが見かけどおりではありません。
このチャレンジはもうプレイしましたか?そうでない場合は、 今すぐ試す さらに読む前に。
... さて、これで完了したので、問題のコードがクロスサイトスクリプティング(XSS)に脆弱であることがわかります。
XSS は Web ブラウザーのコア機能を操作することで可能になります。これは、信頼できない入力がページ上の出力としてレンダリングされても、実行可能で安全なコードとして誤って解釈される場合に発生する可能性があります。攻撃者は、入力パラメータ内に悪質なスニペット (HTML タグ、JavaScript など) を配置し、ブラウザに返されたときに、データとして表示される代わりに実行される可能性があります。
ソフトウェア開発におけるAIコーディングアシスタントの安全な使用
A 最近の調査 現役開発チームのほぼ全員(96%)がワークフローでAIアシスタントを使い始めており、80%がセキュリティポリシーを迂回してツールキットに留めていると回答しています。さらに、半数以上が、ジェネレーティブAIツールは一般的に安全でないコードを生成すると回答しましたが、それでも採用が遅くなることはありませんでした。
このソフトウェア開発プロセスの新時代では、これらのツールの使用を思いとどまらせたり禁止したりすることはうまくいきそうにありません。その代わり、組織は開発チームがセキュリティやコード品質を犠牲にすることなく、効率性と生産性の向上を活用できるようにする必要があります。そのためには、セキュア・コーディングのベスト・プラクティスに関する正確なトレーニングと、クリティカル・シンキングのスキルを高める機会を提供し、特にAIアシスタント・コード出力の潜在的な脅威を評価する際に、セキュリティ第一の考え方で行動できるようにする必要があります。
さらに読む
XSS全般については、こちらをご覧ください 総合ガイド。
安全なコードの書き方についてもっと知りたいですか? リスクを軽減?私たちを試してみてください XSS インジェクションチャレンジ無料。
無料のコーディングガイドラインをもっと入手したい場合は、チェックしてください セキュア・コード・コーチ 安全なコーディングのベストプラクティスを常に把握するのに役立ちます。
%20(1).avif)
.avif)
