Report: Githubs KI-Tool Copilot macht Code unsicherer

12. August 2022 um 09:35
image
Foto: Ilya Pavlov / Unsplash

Das einst gross angekündigte Tool von Github schreibe eine Menge Lücken in Software, erklären Forscher aus den USA. Sie haben ihre Befunde an der Black-Hat-Konferenz präsentiert.

Vor etwas über einem Monat hatte Github sein KI-Tool Copilot gross angekündigt. Es schreibe und vervollständige Code in grossem Umfang, könne gar "komplette Methoden, Boilerplate-Code, ganze Unit-Tests und komplexe Algorithmen vorschlagen", hiess es in einem Blogbeitrag der Codehosting-Plattform. Und das kostenpflichtige Tool ist beliebt, schon vor dem offiziellen Release sollen laut Github 1,2 Millionen User für die Preview-Version angemeldet gewesen sein.
Nun haben sich fünf Informatik-Professoren kritisch zu Wort gemeldet. An der Black-Hat-Konferenz hätten Hammond Pearce und Benjamin Tan von der New York University gemeinsam mit Kollegen erklärt, dass rund 40% der Vorschläge, die Copilot zuerst anzeige, ernste Lücken enthalten und die Sicherheit gefährden. Dies berichtet 'Heise'. Wie gut oder schlecht diese Vorschläge sind, hängt laut den Forschern von einer Reihe von Faktoren wie der Programmiersprache oder dem bereits vom jeweiligen Developer entwickelten Code ab.

Unsicherer Hashing-Algorithmus

Offenbar schlägt Copilot nämlich jeweils Zeilen vor, die am besten zum bereits eingesetzten Code passen – und nicht etwa jene, die am sichersten oder elegantesten sind. Dieses Problem entsteht laut den Forschern, weil das Tool im Machine-Learning-Verfahren von bereits bestehendem Code lernt. So soll auch zu erklären sein, warum Copilot für das Hashing von Passwörtern den als unsicher bekannten Algorithmus MD5 vorschlug, statt die sichereren SHA-256 oder SHA-3. Die Software soll ersterem schlicht häufiger begegnet sein.
Um die Sicherheit zu bewerten, haben die Forscher von Copilot miterzeugte Software automatisiert und manuell untersucht. So wurden 1084 funktionsfähige Programme untersucht, 44% davon haben sich laut einem Whitepaper (PDF) als unsicher erwiesen. Darin habe die Forscher auch ihre Befunde detailliert festgehalten.

Loading

Kommentare

Mehr zum Thema

image

Windsurf wird an Cognition AI verkauft

Nach dem Abgang des Chefs und des Forschungsteams werden die Überreste des Unternehmens an ein anderes KI-Startup verkauft.

publiziert am 15.7.2025
image

Meta will Hunderte Milliarden in KI-RZ investieren

Mark Zuckerberg will mehrere Multi-Gigawatt-Rechenzentren bauen. Damit soll die Entwicklung einer Künstlichen Superintelligenz vorangetrieben werden.

publiziert am 15.7.2025
image

Google reisst sich Windsurf-Know-how unter den Nagel

Eigentlich wollte OpenAI das KI-Coding-Startup übernehmen. Doch während Unstimmigkeiten mit Microsoft ausdiskutiert wurden, hat sich Google mehrere Führungskräfte geschnappt.

publiziert am 14.7.2025
imageAbo

Berner Chatbot "Sophia" erhält UNO-Auszeichnung

Die UNO hat die AI for Good Impact Awards 2025 vergeben. Sophia gewann eine von vier Kategorien. Das Schweizer Projekt Lexaid erhielt eine lobende Erwähnung.

publiziert am 11.7.2025