AI:s snabba utveckling skapar nya säkerhetsrisker
Hastigheten som lurar oss
AI-verktyg hjälper utvecklare att skriva kod snabbare än någonsin. Men när tempot ökar blir det lätt att missa säkerhetsproblem längs vägen. Det är inte AI:n i sig som är problemet – det är att många saknar verktyg och kunskap för att granska vad som genereras.
Granskning av AI-kod kräver annat tänk
Att läsa kod som en annan människa skrivit känns oftast intuitivt. Du förstår tanken bakom och kan se var logiken haltar. När AI:n står bakom koden blir det annorlunda. Modellerna bygger på mönster från stora datamängder, och de kan lika gärna ha lärt sig dåliga vanor som bra. De vet inte heller hur just ditt system är uppbyggt eller vilka risker som finns specifikt för dig.
Därför är det stor skillnad mellan att använda AI som ett stöd i tankearbetet och att låta den skriva stora delar av en applikation helt på egen hand. Det förstnämnda kräver att du fortlöpande kontrollera och korrigera. Det sistnämnda bygger på en tillit som ofta är orealistisk.
AppSec-teamens pressade situation
AppSec-ansvariga hade redan fullt upp med att följa med i DevOps-rörelsen. När nu AI:n dessutom accelererar kodproduktionen blir det omöjligt att hålla samma granskningsnivå med samma resurser. Det räcker inte heller att bara lägga till en ny scanner ovanpå de gamla verktygen. Vi behöver tänka om hur säkerhet ska integreras i hela kedjan – från första line till deployment.
Kompetens som saknas
Kodgranskning är en färdighet. Säker kodgranskning är ännu mer specialiserad. Och att kontrollera AI-genererad kod kräver både förståelse för hur AI:n fungerar och hur riskerna ser ut. De flesta onboarding-programen tar inte upp detta. Det leder till att många team får möjlighet att använda AI utan samtidigt få de grundkunskaperna som behövs.
Hur ska det gå till?
Det handlar inte om att bromsa utveckling. Det handlar om att etablera praktiska och realistic