Read, hack, repeat

Quase 40% do código produzido pelo GitHub Copilot pode ser vulnerável

Guilherme Petry

Cerca de 40% do código produzido com auxílio do GitHub Copilot pode ser vulnerável a ataques cibernéticos, identificaram pesquisadores em um estudo publicado na última semana (23/08). Segundo os pesquisadores, a justificativa é que a inteligência artificial do GitHub Copilot foi alimentada com códigos vulneráveis, extraído de aplicações de código aberto armazenadas no GitHub.

O GitHub Copilot é uma ferramenta de inteligência artificial desenvolvida pelo GitHub em parceria com a OpenAI (desenvolvedora do bot de Dota 2 que venceu o melhor time do mundo, em 2019) como uma extensão para o editor de código Microsoft Visual Code. A ferramenta foi lançada no final de junho desse ano, com a promessa de ajudar desenvolvedores a serem mais eficientes, preenchendo código automaticamente conforme vão sendo escritos.

Exemplo de funcionamento do GitHub Copilot.
Exemplo de funcionamento do GitHub Copilot.

Os pesquisadores Hammond Pearce, Baleegh Ahmad, Benjamin Tan, Brendan Dolan-Gavitt e Ramesh Karri, analisaram os códigos de 1692 softwares desenvolvidos com auxílio do GitHub Copilot e concluíram que cerca de 40% desses possuem códigos vulneráveis, que podem ser explorados por cibercriminosos.

Cross-site scripting (XSS), out-of-bound read, injeção de comandos no sistema operacional, validação de entrada inadequada, SQL Injection (SQLi), use-after-free, path tranversal, upload de arquivos irrestritos e falta de autenticação estão entre as falhas mais comuns encontradas.

O Copilot produz código vulnerável, pois foi alimentado com código presente no GiutHub, que hospeda uma infinidade de projetos de open source escritos por iniciantes. Mas isso não significa que aplicações de código aberto estabelecidas são vulneráveis, já que essas foram desenvolvidas há um bom tempo e já foram amplamente revisadas.

A conclusão dos pesquisadores é de que embora seja uma ferramenta bastante válida, deve ser utilizada com cuidado, especialmente revisada por um profissional qualificado, ou por aplicativos que buscam vulnerabilidades em códigos de softwares.

"Enquanto pode gerar rapidamente quantidades prodigiosas de código, nossas conclusões revelam que os desenvolvedores devem permanecer vigilantes ao utilizar o Copilot. O Copilot deve ser emparelhado com ferramentas de segurança adequadas durante o treinamento e a geração para minimizar o risco de introdução de vulnerabilidades de segurança", concluem os pesquisadores.


Fontes: SecurityWeek; Cornell University.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.