Report: Githubs KI-Tool Copilot macht Code unsicherer

12. August 2022, 09:35
image
Foto: Ilya Pavlov / Unsplash

Das einst gross angekündigte Tool von Github schreibe eine Menge Lücken in Software, erklären Forscher aus den USA. Sie haben ihre Befunde an der Black-Hat-Konferenz präsentiert.

Vor etwas über einem Monat hatte Github sein KI-Tool Copilot gross angekündigt. Es schreibe und vervollständige Code in grossem Umfang, könne gar "komplette Methoden, Boilerplate-Code, ganze Unit-Tests und komplexe Algorithmen vorschlagen", hiess es in einem Blogbeitrag der Codehosting-Plattform. Und das kostenpflichtige Tool ist beliebt, schon vor dem offiziellen Release sollen laut Github 1,2 Millionen User für die Preview-Version angemeldet gewesen sein.
Nun haben sich fünf Informatik-Professoren kritisch zu Wort gemeldet. An der Black-Hat-Konferenz hätten Hammond Pearce und Benjamin Tan von der New York University gemeinsam mit Kollegen erklärt, dass rund 40% der Vorschläge, die Copilot zuerst anzeige, ernste Lücken enthalten und die Sicherheit gefährden. Dies berichtet 'Heise'. Wie gut oder schlecht diese Vorschläge sind, hängt laut den Forschern von einer Reihe von Faktoren wie der Programmiersprache oder dem bereits vom jeweiligen Developer entwickelten Code ab.

Unsicherer Hashing-Algorithmus

Offenbar schlägt Copilot nämlich jeweils Zeilen vor, die am besten zum bereits eingesetzten Code passen – und nicht etwa jene, die am sichersten oder elegantesten sind. Dieses Problem entsteht laut den Forschern, weil das Tool im Machine-Learning-Verfahren von bereits bestehendem Code lernt. So soll auch zu erklären sein, warum Copilot für das Hashing von Passwörtern den als unsicher bekannten Algorithmus MD5 vorschlug, statt die sichereren SHA-256 oder SHA-3. Die Software soll ersterem schlicht häufiger begegnet sein.
Um die Sicherheit zu bewerten, haben die Forscher von Copilot miterzeugte Software automatisiert und manuell untersucht. So wurden 1084 funktionsfähige Programme untersucht, 44% davon haben sich laut einem Whitepaper (PDF) als unsicher erwiesen. Darin habe die Forscher auch ihre Befunde detailliert festgehalten.

Loading

Mehr zum Thema

image

Elektroflugzeug E-Sling hebt ab

Das von ETH-​Studierenden entwickelte vierplätzige E-Flugzeug ist zum ersten Mal abgehoben. Am Projekt wurde im Innovationspark in Dübendorf gearbeitet.

publiziert am 30.9.2022
image

Schweiz: Wettbewerbsfähigkeit top, E-Government flop

In der aktuellen IMD-Studie steigt die Schweiz in Sachen digitale Wettbewerbsfähigkeit in die Top 5 auf. Dahingegen schwächelt sie im Bereich E-Government.

publiziert am 29.9.2022 1
image

Nie mehr Hydranten anklicken: Cloudflare präsentiert Alternative zu Captchas

Mit "Turnstile" sollen Captchas obsolet werden. Die Technik laufe im Hintergrund und könne menschliche Webnutzer innert einer Sekunde von Bots unterscheiden.

publiziert am 29.9.2022 1
image

Blockchain-Startup generiert 5 Millionen mit Token-Verkauf

Chain4Travel will auf einem Blockchain-basierten Netzwerk den Handel von Reiseprodukten ermöglichen. Beim ersten Tokenverkauf hat das Startup 5 Millionen Franken generiert.

publiziert am 29.9.2022