Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Hacker News · 1T SIDEN · analyse

Når KI skriver koden din, flytter sikkerhetsrisikoen seg

SYNOPSIS_GENERERT

I fem år handlet forsyningskjede-sikkerhet om ett spørsmål: hva er egentlig i koden din, altså hvilke open source-pakker, hvilke versjoner og hvilke avhengigheter tre lag ned som ingen valgte med vilje. Nå skriver agenter koden, autonome verktøy drar inn pakker på egen hånd, og en prompt er blitt en reell måte å kompromittere bygget på. The Hacker News argumenterer for at provenans-spørsmålet, altså hvor noe kom fra og om du kan stole på det, nå gjelder modellen, agenten og verktøyene, ikke bare selve artefakten.

Å validere KI-generert kode før commit kaller de «table stakes», altså grunnleggende, men ikke der det vanskelige ligger. Det harde problemet er å styre agentene som skriver, og verktøyene de kaller. Poenget treffer et velkjent smertepunkt: team drukner allerede i funn, og «skann KI-outputen også» gjør bunken høyere, ikke programmet sterkere.

Rådet de lander på er å utvide sporbarhet til alt som går inn i pipelinen, modeller og agenter inkludert, og følge aktivitet og konfigurasjon fra første commit til runtime. Husk at dette er en analyse fra en sikkerhetsleverandør, så les rådene med det i bakhodet. Men premisset er vanskelig å avvise for deg som lar en agent koble seg på egne prosjekter: du må vurdere agenten og verktøyene, ikke bare koden de spytter ut.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN