์ฌ์ ๋ฆฌ๋
AI๋ก ์์ฑ๋ ์ฝ๋๋ ์ฌ๊ธฐ์ ๋จ์ ์์ต๋๋ค. ๊ทธ ๊ฒฐ๊ณผ ์ฐ๋ฆฌ๋ ๋ ์์ ํฉ๋๊น?
2025年的 코딩은 단편을 고민하거나 디버깅에 많은 시간을 보내는 것이 아닙니다. 그것은 전혀 다른 느낌입니다. AI로 생성된 코드는 미래의 제품에서 코드의 대부분을 차지할 것이며, 그것은 현대의 개발자에게 필수적인 도구가 되었습니다. “바이브 코딩”으로 알려진 Github Copilot, Amazon CodeWhisperer 및 Chat GPT와 같은 도구에서 생성된 코드의 사용은 빌드 시간을 줄이고 효율성을 높이는 데 있어 정상이 아닌 예외가 될 것입니다. 그러나 AI로 생성된 코드의 편리함은 보안 아키텍처에 대한 더 어두운 위협을 가할 수 있습니까? 생성된 AI는 보안에 대한 취약성을 증가시킵니까, 아니면 개발자가 안전하게 “바이브 코딩”을 할 수 있는 방법이 있습니까?
“AI로 생성된 코드의 취약성으로 인한 보안 사고는 오늘날 가장少하게 논의되는 주제 중 하나입니다.” DeepSource의 설립자 인 Sanket Saurav는 말했습니다. “まだ Copilot 또는 Chat GPT와 같은 플랫폼에서 생성된 코드 중에는 인간의 검토를 받지 못하는 코드가 많으며, 영향을받는 회사에서는 보안 위반이 치명적일 수 있습니다.”
코드 품질 및 보안을 위한 정적 분석을 사용하는 오픈 소스 플랫폼의 개발자 인 Saurav는 2020년 솔라윈즈 해킹과 같은 “絶滅イベント”를 예로 들며, AI 생성 코드를 사용할 때 올바른 보안 가드레일을 설치하지 않은 경우 회사에서 직면할 수 있는 종류의 위협을 언급했습니다. “정적 분석을 통해 개발자는 불안정한 코드 패턴 및 나쁨 코딩 관행을 식별할 수 있습니다.” Saurav는 말했습니다.
라이브러리를 통해 공격
AI로 생성된 코드에 대한 보안 위협은 창의적인 형태를 취할 수 있으며 라이브러리에 대한 공격이 될 수 있습니다. 프로그래밍에서 라이브러리는 시간을節約하기 위해 개발자가 사용하는 유용한 재사용 가능한 코드입니다.
그들은 일반적으로 데이터베이스 상호 작용을 관리하는 것과 같은 정기적인 프로그래밍 작업을 해결하도록 도와주며, 프로그래머가 처음부터 코드를 다시 작성할 필요가 없습니다.
라이브러리에 대한 한 가지 위협은 “hallucinations”으로 알려져 있으며, 여기서 AI 생성 코드는 가상의 라이브러리를 사용하여 취약성을 표시합니다. AI 생성 코드에 대한 최근의 또 다른 공격은 “slopsquatting”으로, 공격자가 라이브러리를 직접 대상으로 하여 데이터베이스에 침투할 수 있습니다.
이러한 위협에 직면하여 개발자는 “바이브 코딩”이라는 용어에서 암시하는 것보다 더 많은 주의가 필요할 수 있습니다. Université du Québec en Outaouais의 교수인 Rafael Khoury는 AI 생성 코드의 보안 개발을密接하게 지켜보았으며, 새로운 기술이 그 안전성을 향상시킬 것이라고 확신합니다.
2023년의 한 연구에서, Professor Khoury는 추가적인 컨텍스트나 정보 없이 ChatGPT에 코드를 생성하도록 요청한 결과를 조사했으며, 이는 안전하지 않은 코드로 이어졌습니다. 그것은 Chat GPT의 초기 시대였으며, Khoury는 지금 미래에 대해 낙관적입니다. “그 이후로 많은 연구가 진행 중이며, LLM을 사용하는 전략으로 더好的 결과를 가져올 수 있을 것입니다.” Khoury는 말했습니다. “보안은 더 좋아지고 있지만, 우리는 직접적인 프롬프트를 주고 안전한 코드를 얻을 수 있는 위치에 있지 않습니다.”
Khoury는 한 연구를 설명했으며, 여기서 코드를 생성한 다음 코드를 취약성으로 분석하는 도구에 코드를 보냈습니다. 도구에서 사용하는 방법은 Finding Line Anomalies with Generative AI (FLAG)라고 합니다.
“이러한 도구는 24행과 같은 취약성을 식별할 수 있는 FLAG를 보낼 수 있으며, 개발자는 이 문제를 조사하고 수정하도록 LLM에 요청할 수 있습니다.”라고 Khoury는 말했습니다.
Khoury는 취약한 코드를 수정하는 데 이ような 앞뒤로의 대화가 중요할 수 있다고 제안했습니다. “이 연구는 5회의 반복으로 취약성을 0으로 줄일 수 있다고 제안합니다.”
그러나 FLAG 방법에는 거짓 양성과 거짓 음성으로 인한 문제가 있습니다. 또한 LLM이 생성할 수 있는 코드의 길이 제한과 코드 단편을 연결하는 것이 또 다른 위험을 추가할 수 있습니다.
루프에 인간을 유지
“바이브 코딩”의 일부 참가자들은 코드를 단편화하고 인간이 코드베이스의 가장 중요한 편집에서 앞뒤로 유지해야 한다고 추천합니다. “코드를 작성할 때 커밋으로 생각하십시오.” Windsurf의 제품 엔지니어 책임자 인 Kevin Hou는 말했습니다. “큰 프로젝트를 작은 청크로 나누어 커밋이나 풀 요청으로 처리하십시오. 에이전트가 작은 규모, 한 번에 분리된 기능을 구축하도록 하십시오.这样하면 코드 출력이 잘 테스트되고 잘 이해될 수 있습니다.”
현재 Windsurf는 이전 이름인 Codeium을 통해 50억 줄이 넘는 AI 생성 코드에 접근했습니다. Hou는 개발자가 과정을인지하고 있는지 여부가 가장紧迫한 질문이라고 말했습니다.
“AI는 많은 파일에서同時에 많은 수정을 할 수 있으므로 개발자가 실제로 이해하고 수정 중인 내용을 검토하는 대신 모든 것을 맹목적으로 수락하는 것은 아닙니까?” Hou는 Windsurf의 UX에大量으로 투자했으며, “AI가 하는 모든 것을 완전히 동기화하고 인간을 완전히 루프에 유지하기 위한 수많은 직관적인 방법”이 있다고 추가했습니다.
그것은 왜 “바이브 코딩”이 더 대중화됨에 따라, 루프에있는 인간은 그 취약성에 더 주의해야 한다는 것을 의미합니다. “hallucinations”에서 “slopsquatting”까지의 위협은 실제이지만, 해결책도 실제입니다.
정적 분석, FLAG와 같은 반복적 개선 방법, 그리고 사려 깊은 UX 설계와 같은 새로운 도구는 보안과 속도가 상호 배타적일 필요는 없음을 보여줍니다.
关键은 개발자를 참여시킵니다. 알리고 통제합니다. 올바른 가드레일과 “신뢰하지만 검증”하는 마음가짐으로, AI 지원 코딩은 혁신적이고 책임감 있게 될 수 있습니다.
