Kod generowany przez AI jest niebezpieczny. Cisco prezentuje Project CodeGuard, by to naprawić
Zespoły programistów coraz powszechniej korzystają z asystentów opartych na sztucznej inteligencji, aby przyspieszyć tworzenie oprogramowania. Niestety, jest mroczna strona takiego podejścia.
Problem polega na tym, że gwałtowny wzrost produktywności nie idzie w parze z bezpieczeństwem. Jak wskazuje Cisco, kod generowany przez AI jest często pełen luk: zawiera niebezpieczne ustawienia domyślne, zapisane na stałe hasła, przestarzałe algorytmy kryptograficzne czy błędy w walidacji danych.
W odpowiedzi na ten problem, firma zaprezentowała Project CodeGuard. To nowy framework bezpieczeństwa, którego celem jest wprowadzenie zasad „secure by default” (domyślnie bezpieczne) do procesów programowania wspomaganego przez AI. Framework dostarcza zestaw reguł oraz narzędzi do integracji z popularnymi agentami AI, aby zapewnić bezpieczeństwo kodu bez spowalniania pracy programistów.
Project CodeGuard został zaprojektowany tak, by wspierać bezpieczeństwo na każdym etapie pracy z kodem. Już w fazie planowania reguły mogą kierować modele AI w stronę bezpiecznych rozwiązań. Podczas samego generowania kodu, agenci AI (tacy jak GitHub Copilot, Cursor czy Windsurf) stosują reguły w czasie rzeczywistym.
Ma to ograniczać wprowadzanie nowych podatności, np. tych z listy OWASP Top 10 – uznawanego na całym świecie rankingu najpoważniejszych zagrożeń dla aplikacji internetowych. Na końcu, framework może być użyty do automatycznych przeglądów i audytów bezpieczeństwa.
W praktyce, reguła CodeGuard może na przykład zapobiegać osadzaniu w kodzie kluczy API lub haseł, ostrzegając programistę i kierując go do bezpiecznych narzędzi zarządzania sekretami. Inna reguła może wykrywać niebezpieczne operacje na danych użytkownika i wymuszać stosowanie odpowiednich mechanizmów ochronnych. Cisco opublikowało już wersję 1.0.0 frameworku, zawierającą podstawowy zestaw reguł i narzędzia integracyjne.
Jak podkreśla Omar Santos z Cisco PSIRT, Project CodeGuard jest projektem otwartym, rozwijanym we współpracy ze społecznością. Ma on pełnić funkcję „dodatkowej warstwy bezpieczeństwa”, która uzupełnia istniejące praktyki audytu i przeglądu kodu. Inicjatywa ma na celu ustanowienie nowego standardu w zakresie odpowiedzialnego wykorzystania AI w inżynierii oprogramowania.
Cisco integruje AI z Webex Contact Center. Nowe narzędzia mają zrewolucjonizować obsługę klienta
