Риски и стратегии использования генеративного ИИ в разработке ПО

Какие шаги должны предпринять руководители ИТ-служб, чтобы гарантировать, что разработчики используют генеративный ИИ таким образом, чтобы обеспечить безопасность и контроль данных? Своими рекомендациями делятся опрошенные порталом InformationWeek эксперты.

Как выяснили некоторые разработчики в начале этого года, привлечение генеративного ИИ для выполнения некоторого объема кодирования не всегда просто и безопасно, но есть способы, позволяющие командам работать с большей уверенностью.

В апреле сотрудники Samsung поместили в ChatGPT часть собственного кода компании, а затем поняли, что генеративный ИИ сохраняет то, что ему скармливают для самообучения. Это вызвало переполох, вызванный опасениями по поводу утечек, но в то же время заставило другие компании осознать риски, которые могут возникнуть при использовании генеративного ИИ в разработке и кодировании.

Идея достаточно проста — пусть ИИ создает код, а разработчики сосредоточатся на других задачах, требующих их внимания. Астрофизик Нил Деграсс Тайсон увидел некоторые преимущества использования ИИ для обработки данных о космосе, которое освободило его от ряда обязанностей. Похоже, что при хорошо продуманной стратегии генеративный ИИ может сыграть продуктивную роль в разработке ПО, если, конечно, будут установлены защитные ограничения.

Джош Мирамант, генеральный директор компании Blue Orange Digital, специализирующейся на данных и аналитике, считает, что использование ИИ разработчиками становится все более неизбежным: «Мы находимся на интересном перекрестке, на котором мы видим будущее массового применения LLM (больших языковых моделей) и генеративного ИИ».

Появление ChatGPT положило начало гонке за разработку конкурирующих ИИ-решений, но довольно «открытый» характер некоторых из этих инструментов не очень хорошо подходит для конфиденциального, закрытого корпоративного использования. По мнению Мираманта, компании могут использовать ИИ в разработке ПО при соблюдении определенных правил. Так, они «начнут использовать Open Source-модели, которые они будут обучать и использовать внутри компании со значительно более ограниченным доступом, — говорит он. — Должны быть очень высокие стены, чтобы корпорация решилась на обучение на очень проприетарных корпоративных данных».

Среди других рисков использования ИИ при разработке ПО можно назвать возможность регенерирования некачественного кода, распространяемого в мире Open Source. «Плохой код копируется и используется повсеместно, — говорит Мудду Судхакар, генеральный директор и соучредитель компании Aisera, разработчика платформы генеративного ИИ для предприятий. — Это большой риск». Он заключается не только в повторении плохо написанного кода — плохой код может быть использован злоумышленниками, желающими внедрить уязвимости, которые они смогут использовать в дальнейшем.

По мнению Судхакара, организации, использующие генеративный ИИ и другие ресурсы с открытым исходным кодом, должны внедрять средства контроля для выявления подобных рисков, если они намерены сделать ИИ частью процессов разработки. «Это в их интересах, потому что для беды достаточно одного плохого кода», — говорит он, указывая на длительную хакерскую кампанию, связанную с утечкой данных компании Solar Winds.

Растущая привлекательность ИИ для разработки, похоже, перевешивает опасения по поводу возможности утечки данных или возникновения других проблем. «Это настолько полезно, что стоит осознавать риски и все равно делать это», — говорит Бабак Ходжат, технический директор по ИИ и глава Cognizant AI Labs.

Также следует учитывать, что общедоступность кода не означает, что он не защищен авторским правом, что может стать проблемой, если компания включит этот код в линейку своих собственных программных продуктов. «Нам нужно быть очень внимательными и осторожными, чтобы не попасть в эту ловушку», — говорит Ходжат.

По его словам, наряду с мониторингом некачественного кода организациям следует дважды убедиться в том, что код генеративного ИИ не защищен авторским правом или правом интеллектуальной собственности, и в этом процессе им могут помочь другие виды ИИ. «Эти ИИ-элементы на самом деле гораздо лучше критикуют, чем создают», — говорит Ходжат.

Судхакар согласен с тем, что для проверки кода ИИ на предмет потенциальных авторских прав или интеллектуальной собственности следует применять инструменты с открытым исходным кодом — «независимо от того, есть ли у вас люди, занимающиеся ПО, чтобы проверять код, и в соответствии с уровнем ваших инвестиций».

По словам Ходжата, существуют способы использования общедоступного генеративного ИИ, снижающие определенные риски. Это может включать загрузку LLM с открытым исходным кодом и ее локальный запуск. Таким образом, конфиденциальные данные и код не будут покидать пределы организации. «Возможность запускать эти модели локально позволит нам использовать эти системы для расширения возможностей кодирования», — говорит он. Однако для некоторых видов проприетарного кода ИИ может оказаться под полным запретом.

Поскольку привлекательность ИИ продолжает расти, ИТ-руководителям придется внимательно следить за тем, как их сотрудники его используют. «Поскольку он так полезен, очень велик соблазн скопировать код через API, но это абсолютно запрещено, — говорит Ходжат. — Вы же не станете вставлять код в электронную почту и рассылать его кому-то за пределами организации! Это одно и то же».

Если смотреть на перспективу, то, по его словам, разработка ПО с помощью генеративного ИИ может стать еще проще. Программирование может уйти от таких языков, как Python, и перейти к естественным языкам, таким как английский, что в перспективе сделает разработку такой же простой, как предоставление описания желаемого ПО. «Это будет очень интересно, поскольку мы придем к тому, чтобы не писать код, а просто описывать функциональность и получать систему», — говорит Ходжат.