Los desarrolladores han utilizado durante mucho tiempo sitios como Stack Overflow como foros donde podían obtener ejemplos de código y ayuda. Esa comunidad está siendo reemplazada rápidamente por herramientas de inteligencia artificial generativa como ChatGPT. Hoy en día, los desarrolladores piden a los chatbots de IA que les ayuden a crear código de muestra, traducir de un lenguaje de programación a otro e incluso escribir casos de prueba. Estos chatbots se han convertido en miembros de pleno derecho de sus equipos de desarrollo. Las ganancias de productividad que ofrecen son, sencillamente, impresionantes. Sólo hay un problema. ¿Cómo aprendieron a codificar los miembros de su equipo de chatbot de IA generativa? Invariablemente leyendo miles de millones de líneas de software de código abierto, que están llenas de errores de diseño, errores y malware insertado por piratas informáticos. Dejar que el código abierto entrene sus herramientas de inteligencia artificial es como dejar que un conductor que roba un banco enseñe educación vial en la escuela secundaria. Tiene un sesgo incorporado de enseñar algo malo. Hay más de mil millones de contribuciones de código abierto anualmente a varios repositorios. Solo GitHub tenía más de 400 millones en 2022. Esa es una gran oportunidad para introducir código incorrecto y una enorme “superficie de ataque” para intentar buscar problemas. Una vez que se ha utilizado el código abierto para entrenar un modelo de IA, el daño ya está hecho. Cualquier código generado por el modelo estará influenciado por lo que aprendió. El código escrito por su chatbot generativo de IA y utilizado por sus desarrolladores puede y debe ser inspeccionado de cerca. Desafortunadamente, los momentos en los que es más probable que sus desarrolladores le pidan ayuda a un chatbot son cuando carecen de la experiencia suficiente para escribir el código ellos mismos. Eso significa que también carecen de la experiencia necesaria para comprender si el código producido tiene una puerta trasera oculta intencionalmente o malware. Le pregunté a LinkedIn con qué cuidado inspecciona la gente la calidad y seguridad del código producido por la IA. Un par de miles de impresiones después, las respuestas iban desde «con mucho, mucho cuidado» hasta «es por eso que no uso IA generativa para generar código», «demasiado pronto para usarla» y «[too much risk of] malware incrustado y debilidades de diseño conocidas”. Pero el hecho es que muchas empresas están utilizando IA generativa para desarrollar código, y son más las que se están subiendo al tren. Entonces, ¿qué deberían hacer las empresas? Primero, deben inspeccionar y escanear cuidadosamente el código escrito por IA generativa. Los tipos de escaneos utilizados son importantes. No asuma que el malware de IA generativo coincidirá con firmas de malware conocidas, porque el código generado cambia cada vez que se escribe. En su lugar, utilice escaneos de comportamiento estáticos y análisis de composición de software (SCA) para ver si el software generado tiene fallas de diseño o hará cosas maliciosas. Tal vez sea evidente, pero no es una buena idea dejar que la misma IA generativa que produce código de alto riesgo escriba los casos de prueba para ver si el código es riesgoso. Eso es como pedirle a un zorro que revise el gallinero en busca de zorros. Si bien los riesgos de generar código incorrecto son reales, también lo son los beneficios de codificar con IA generativa. Si va a confiar en el código generado, se aplica el viejo refrán: confíe, pero verifique. Lou Steinberg es fundador y socio director de CTM Insights, una incubadora y laboratorio de investigación en ciberseguridad. Antes de lanzar CTM, fue CTO de TD Ameritrade, donde fue responsable de innovación tecnológica, arquitectura de plataforma, ingeniería, operaciones, gestión de riesgos y ciberseguridad. —Generative AI Insights proporciona un lugar para que los líderes tecnológicos exploren y discutan los desafíos y oportunidades de la inteligencia artificial generativa. La selección es amplia, desde análisis profundos de tecnología hasta estudios de casos y opiniones de expertos, pero también subjetiva, basada en nuestro juicio sobre qué temas y tratamientos servirán mejor a la audiencia técnicamente sofisticada de InfoWorld. InfoWorld no acepta garantías de marketing para su publicación y se reserva el derecho de editar todo el contenido aportado. Póngase en contacto con doug_dineley@foundryco.com. Copyright © 2023 IDG Communications, Inc.

Source link