Miért kell még mindig igazi mérnöki munka az AI által írt kódhoz?

Az ígéret egyszerű volt: leírod, mit szeretnél, és kapsz működő, élesre kész kódot. A ChatGPT és a Copilot egy csapásra átalakította, hogyan írunk programokat. Rendezési algoritmus kell? Néhány másodperc alatt megvan. REST végpont? Három különböző változat is érkezik azonnal. Sok fejlesztő számára ez a kapuk megnyílását jelenti – végre bárki tud nagy léptékben kódolni.

Csakhogy a könnyű hozzáférés nem egyenlő a felelősségvállalással.

Az AI gyors megoldás problémája

Láttuk már az egyetemi világban, hogy az AI-val generált dolgozatok mennyire megnehezítik a plágiumkeresést. A hallgató beküld egy promptot, megkapja a kódot, pár változót átnevez, és már küldi is be. A hagyományos plágiumvizsgálók, amelyek egyszerű szöveg-összehasonlításra épülnek, ezt egyáltalán nem veszik észre. Más változónév, más formázás – a rendszer két teljesen különböző fájlt lát.

Ez már nem csak az oktatás problémája. Junior fejlesztők éles környezetben is teljes mértékben AI autocomplete-re hagyatkoznak anélkül, hogy megértenék, mit adnak ki a kezükből. Nyílt forráskódú projektekben egyre nehezebb követni, honnan származik egy-egy kódrészlet. Az LLM-ekre épülő fejlesztés gyorsan terjed, miközben a kódellenőrzés szigorúsága nem nő vele együtt.

A veszélyes illúzió az, hogy ha a kód működik, akkor jó kód. Ez nem igaz.

Miért egyre nehezebb a kódok összehasonlítása

A klasszikus hash-alapú detektálás jól működik, ha valaki szó szerint átmásol egy fájlt. Kommentek nélkül, egységes formázással lefuttatja a hash-t, és kész. Ez a lustább eseteket még elkapja.

De mi van akkor, ha a változók neve szisztematikusan megváltozik? Ha a ciklusok szerkezete átalakul? Ha az algoritmus ugyanaz marad, de a megvalósítás teljesen más? Vagy ha a logika ugyanaz, de a szintaxis gyökeresen eltér?

Minden ilyen variáció más-más vizsgálati réteget igényel.

Többrétegű védelem – így működik ma a plágiumdetektálás

A modern rendszerek már nem egyetlen módszerre hagyatkoznak. A kutatások által támogatott megközelítés többlépcsős:

1. réteg: Pontos egyezés
Ez gyors és megbízható az egyértelmű másolatoknál. Ha valaki szó szerint átküldi a fájlt, az MD5 hash azonnal jelzi. Nulla téves pozitív, lineáris teljesítmény nagy mennyiségű adatnál is.

2. réteg: Normalizált összehasonlítás
Itt a rendszer eltávolítja a kommenteket, összevonja a felesleges whitespace-t, és az azonosítókat általános tokenekre cseréli. Utána számol hasonlósági arányt. Ha a tokenek 95%-a egyezik, akkor nagy eséllyel ugyanarról a kódról van szó.

3. réteg: Strukturális elemzés
Abstract Syntax Tree (AST) segítségével a rendszer felismeri, hogy két program ugyanazt a logikai szerkezetet követi-e, függetlenül a konkrét kifejezéstől. Egy ideiglenes változóval vagy tuple unpackinggel megvalósított csere ugyanazt a műveletet jelenti. Gépi tanulással tanított osztályozók segítenek az ilyen variánsok felismerésében.

4. réteg: Szemantikai hasonlóság
Ez a legnehezebb feladat: két kód ugyanazt csinálja, de teljesen másképp néz ki. Rekurzív és iteratív Fibonacci, vagy fa bejárás rekurzióval és sorral. Itt kód-embeddingeket használnak – a kódot sűrű vektorokká alakítják, amelyek a jelentést reprezentálják. A koszinusz-hasonlóság alapján lehet kiszűrni azokat a programokat, amelyek jelentésükben azonosak, de szintaxisuk eltérő.

Miért fontos ez a te infrastruktúrád szempontjából

Ha olyan platformot építesz, ahol kódot kell beküldeni, ellenőrizni vagy integrálni – legyen az oktatási rendszer, tehetség-kereskedő platform vagy belső minőségellenőrzés –, érdemes megérteni ezeket a rétegeket.

Egy egyszerű plágiumdetektor csak látszólagos biztonságot ad. Az igazi, különösen AI-val támogatott plágium réteges. Réteges védelemre van szükség ellene.

Az AI-támogatott fejlesztés kényelmetlen igazsága

Az AI eszközök valóban hasznosak. Gyorsítják a fejlesztést, demokratizálják a problémamegoldást, és a fejlesztők a nehéz kérdésekre koncentrálhatnak ahelyett, hogy boilerplate kódot írjanak. Ez nem fog változni.

De a szakadék „az AI írta ezt” és „ezt elég jól értem ahhoz, hogy karbantartsam” között egyre nő. Egy senior fejlesztő, aki a Copilotot vázlatkészítő eszközként használja, más kódot ad ki, mint egy junior, aki orákulumként kezeli. A kimenet átmehet minden detektálási rétegen, de a mérnöki minőség, a biztonság és a karbantarthatóság jelentősen eltérhet.

A valódi kockázat nem az, hogy az AI tud kódot írni. Hanem az, hogy elfogadható kódot ír, amit senki sem ért teljesen.

Mit jelent ez a fejlesztési folyamatodban

Ha integrálod az AI-t a fejlesztésbe – és ha modern infrastruktúrát építesz, valószínűleg ezt teszed –, akkor érdemes figyelembe venni a következőket:

• A kódellenőrzés nehezebbé válik: Nem elég a szintaxist nézni. Kérdezd meg a fejlesztőt, hogy magyarázza el a nem egyértelmű részeket. Figyelj a másolás-átnevezés típusú refaktorálásokra.
• Embedding-alapú elemzés: Nagy mennyiségű beküldött kód esetén érdemes szemantikai elemzést alkalmazni. Drágább, mint az egyszerű string-összehasonlítás, de többet talál.
• A dokumentáció felértékelődik: Ha az AI írt egy részt a kódbázisból, a szándék dokumentálása létfontosságú. A jövőbeli karbantartóknak – beleértve saját magadat fél év múlva – tudniuk kell, miért ezt a megoldást választottátok.
• A tesztelés mélysége nő: Az AI-val generált kód gyakran meggyőzően néz ki, de elkerüli a szélsőséges eseteket. Alaposabb tesztelés hozza felszínre azokat a hiányosságokat, amiket a kódreview esetleg nem talál meg.

A nagyobb kép

A tanulság nem az, hogy „az AI veszélyes”, hanem az, hogy a könnyű generálás szigorúbb értékelést követel.

Amikor a kódírás nehéz volt, az emberek mélyebben gondolkodtak. Amikor a másolás lopásnak tűnt, motiváltabbak voltak a saját megoldásuk megértésére. Amikor minden detektálás string-összehasonlítás volt, az ösztönzés a valódi megértésre irányult.

Ahogy az eszközök okosabbá válnak, úgy nő a felelősségünk is a kód ellenőrzésében, megértésében és validálásában. A könnyű kódírás illúziója azt sugallja, hogy megszüntettük a nehéz részt. Valójában csak áthelyeztük a generálásról az értékelésre.

És ez így van rendjén. Mert itt lakik az igazi mérnöki munka.

NameOcean-nál folyamatosan foglalkozunk a kódminőséggel, a biztonsággal és az automatizálás és megértés közötti feszültséggel. Ha AI-támogatott kódot viszel éles környezetbe, vagy olyan rendszert építesz, ami kódot értékel, az architektúra számít. Ha ezekkel a kérdésekkel küzdesz nagyobb léptékben, szívesen beszélgetünk róla.