Die Professoren Hammond Pearce und Benjamin Tan von der New York University haben im Rahmen der Sicherheitskonferenz Black Hat 2022 eine Untersuchung bezüglich GitHub Copilot vorgestellt. Laut ihrer Ergebnisse erzeugt die KI-basierte Codevervollständigung in etwa 40 Prozent der Erstvorschläge Code mit ernsthaften Schwachstellen.

Verschiedene Faktoren, wie etwa die Programmiersprache, sollen die Qualität der Vorschläge beeinflussen. Demnach führe C-Code öfter zu unsicheren Vorschlägen als Python-Code. Weiterhin habe auch der bereits geschriebene Code des Programmierers sowie der Name letzteren einen Einfluss. Grund für die Probleme sei laut der Forscher das Training der Software: So habe Copilot in einem Test etwa den bereits als unsicher bekannten Hash-Algorithmus MD5 zur Erstellung von Passwort-Hashes verwendet. MD5 sei in den Trainingsdaten vermutlich häufiger vorgekommen als sicherere Alternativen.

Als Benchmark zur Bewertung vorgeschlagener Code-Bestandteile nutzten die Forscher 18 Einträge aus der Liste der Top 25 Common Weakness Enumerations (CWEs) aus dem Jahr 2021. Von insgesamt 1084 funktionstüchtigen Programmen sollen 44 Prozent eine CWE enthalten haben.

Die Forscher haben ihre Ergebnisse in einem Whitepaper im Detail dokumentiert.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE