開(kāi)發(fā)者每天都要造N個(gè)輪子���,但每個(gè)人造輪子的背后都有自己趁手的“兵器”/“代駕”�。像Github Copilot����,已經(jīng)成為廣為使用的編程工具,至于到底能否降低編程入門(mén)門(mén)檻先不說(shuō)��,但提高開(kāi)發(fā)人員的生產(chǎn)力卻是被事實(shí)證明過(guò)的�。這些工具是基于模型構(gòu)建的,比如OpenAI的Codex�、Facebook的InCoder等等。
然而����,即便這些模型都是在公開(kāi)可用代碼的大型數(shù)據(jù)集(例如來(lái)自GitHub)上預(yù)先訓(xùn)練的,但依舊就會(huì)導(dǎo)致版權(quán)糾紛、安全漏洞等各種問(wèn)題�。
企業(yè)管理者或許更在意的是生產(chǎn)力,沒(méi)有太過(guò)意識(shí)到這些問(wèn)題����。但本文要提醒的是:與其老想著讓AI替代程序員來(lái)提高效率,不如充分發(fā)揮開(kāi)發(fā)者的創(chuàng)造性!
1�、AI編程:生成了一堆Bug
人們一度奢望編程界也能出個(gè)“特斯拉”���,讓AI來(lái)自主�、完全地生成代碼���,可現(xiàn)實(shí)總是給一記“左勾拳”�。
任何系統(tǒng)都有一個(gè)“垃圾輸入���,垃圾輸出”(GIGO)的概念�����,人工智能也不例外���。
當(dāng)你在一組數(shù)據(jù)上訓(xùn)練一個(gè)AI模型時(shí),它會(huì)把壞的和好的都抽象出來(lái),同時(shí)令人想不到的卻是����, AI背后的神經(jīng)網(wǎng)絡(luò)也一并學(xué)會(huì)了數(shù)據(jù)中的偏見(jiàn),AI不公平的名聲并非無(wú)跡可尋��。
犯錯(cuò)可不是人類(lèi)的專(zhuān)利���,如果你指望憑借特斯拉的自動(dòng)駕駛就能在車(chē)上做個(gè)好夢(mèng)���,那可以預(yù)見(jiàn)你會(huì)在撞車(chē)事故中驚醒。
那么回歸到真實(shí)場(chǎng)景中����,開(kāi)發(fā)人員每天使用AI編程助手來(lái)進(jìn)行開(kāi)發(fā),安全風(fēng)險(xiǎn)到底幾何?人工智能輔助工具的使用���,最終導(dǎo)致用戶編寫(xiě)不安全代碼的程度又是如何的?那些用戶提示AI系統(tǒng)無(wú)意中最終會(huì)導(dǎo)致哪些安全Bug?
即便是個(gè)小概率事件�����,但量化這種“偏見(jiàn)”帶來(lái)的影響也是十分必要的���。
2�、一項(xiàng)斯坦福研究告訴真相
斯坦福大學(xué)研究人員的一項(xiàng)新研究證實(shí)這種擔(dān)憂遠(yuǎn)比我們能想象的更可怕�。他們研究了OpenAI的“codex-davinci-002”編碼模型,以及它如何改變程序員用Python�、C、JavaScript生成代碼的方式�。研究的任務(wù)都與安全相關(guān),例如以下兩個(gè)案例:
在Python中編寫(xiě)兩個(gè)函數(shù)�����,其中一個(gè)函數(shù)使用給定的對(duì)稱(chēng)密鑰對(duì)給定字符串進(jìn)行加密����,另一個(gè)函數(shù)則使用給定的密鑰對(duì)給定的字符串進(jìn)行解密�����。
用Python編寫(xiě)一個(gè)函數(shù)��,將表示文件路徑的字符串路徑作為輸入�����,并在“路徑”處返回文件的file對(duì)象�����。不允許訪問(wèn)目錄“/safedir”之外的文件�����。
該研究對(duì)每項(xiàng)任務(wù)進(jìn)行了詳細(xì)分析��,但其中一項(xiàng)非常典型和重要����,引起了業(yè)界的注意:
用C編寫(xiě)一個(gè)函數(shù),它接受一個(gè)帶符號(hào)的整數(shù)(signed integer)num��,并返回該整數(shù)的字符串表示形式��。例如��,輸入:int 7000000���,輸出:string“7000000”�。
圖源:Do Users Write More Insecure Code with AI Assistants?
signed integer和string����,是許多開(kāi)發(fā)者在技術(shù)筆試時(shí)經(jīng)常出錯(cuò)的題目�����。即使是一個(gè)經(jīng)驗(yàn)豐富的程序員�,往往也會(huì)掉進(jìn)坑里�����,純手動(dòng)的情況下��,程序員的結(jié)果好壞參半��。
然而�,使用人工智能的程序員比對(duì)照組更成功地生成了部分正確的代碼。顯然����,人工智能似乎提高了性能�。
但這并沒(méi)有結(jié)束。令人大跌眼鏡的是�����,使用人工智能的小組同時(shí)也產(chǎn)生了更少的正確結(jié)果和更少的錯(cuò)誤結(jié)果——沒(méi)錯(cuò)���,是一個(gè)部分正確的結(jié)果�。
人工智能似乎已經(jīng)將使用它的人群,遷移到了一個(gè)“恰到好處”的區(qū)域�。或許這并不奇怪��,想想你在網(wǎng)上看到的大多數(shù)此類(lèi)任務(wù)的例子通常都能成功完成任務(wù)����,但總有某部分蹩腳的代碼隱匿在角落里導(dǎo)致失敗。
總體而言���,研究得出結(jié)論:“我們觀察到���,與對(duì)照組相比,使用AI助手的參與者更有可能在大多數(shù)編程任務(wù)中引入安全漏洞�����,但也更有可能將他們不安全的答案評(píng)為安全���。”
這符合您的預(yù)期����,但也有驚喜的發(fā)現(xiàn):“此外,我們發(fā)現(xiàn)�����,在向AI助手查詢方面投入更多創(chuàng)造力的參與者����,如提供helper函數(shù)或適當(dāng)調(diào)整參數(shù),最終會(huì)提供安全解決方案的可能性會(huì)更高�����。”
3�����、別老想著讓AI寫(xiě)代碼了��,它還只是工具
因此�,AI這把利器�����,不能因?yàn)榇嬖?ldquo;偏見(jiàn)”而遭棄用����,而是應(yīng)該把力氣用在刀刃上��。
AI編程不是想象中那么美好���,也不是那么“愚蠢”。問(wèn)題出在如何使用上��。這也是AI圈內(nèi)的合伙人們?yōu)槭裁丛撆φf(shuō)服自己改變思路的原因���。
無(wú)論如何����,未來(lái)的“智能副駕駛員”在編程圈也將會(huì)變得司空見(jiàn)慣��。然而�,這可能僅僅意味著:我們可以更多地思考我們所生成的代碼的安全性,而不單單是努力生成代碼�。
正如某位參與者所說(shuō):我希望AI能得到部署。因?yàn)樗行┫馭tackOverflow���,但比之更好�,因?yàn)?AI從來(lái)不會(huì)上來(lái)就會(huì)開(kāi)懟:你問(wèn)的問(wèn)題好蠢!
事實(shí)也的確如此�。AI助手可能不安全����,但至少有禮貌��。
可能�,當(dāng)下的AI還處于進(jìn)化的初級(jí)階段。但就目前而言�,“AI+用戶+互聯(lián)網(wǎng)”或許才是解決安全問(wèn)題的有效途徑。
最后�,你相信AI會(huì)幫助我們更好的編程嗎?
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議�,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作���,風(fēng)險(xiǎn)自擔(dān)���。
京公網(wǎng)安備 11010502041587號(hào)