98% מהארגונים מודים: קוד שנכתב על ידי AI הוביל לפרצות באבטחה
רק 18% הודו שיש מדיניות לשימוש בכלי AI בחברה, זאת בזמן ש-34% מהארגונים נותנים ל-AI לכתוב להם את מרבית הקוד
נוצר באמצעות AI
בזמן שהארגונים מתלהבים מכלי AI שמייצרים קוד בקצב מסחרר, צוותי ה-IT והאבטחה מתמודדים עם מציאות הרבה פחות זוהרת והרבה יותר מרגיזה: קוד חדש נכנס לפרודקשן בלי מדיניות מסודרת, כלי הסריקה לא מזהים דפוסים שנכתבו על ידי מודלים, ולחץ הזמן דוחף מפתחים לעקוף נהלים. התוצאה היא פער מסוכן: האוטומציה רצה קדימה, אבל האבטחה נשארת הרבה מאחור.
כעת, דוח חדש של Checkmarx, שבדק למעלה מ-1,500 מנהלי אבטחה, מפתחים ומנהלי AppSec מראה עד כמה הפער הזה נהיה מסוכן.
על פי הדוח, 98% מהארגונים שהשתתפו במחקר העידו כי חוו בשנה האחרונה פרצות אבטחה שמקורן בקוד פגיע. זוהי קפיצה מהנתון של 2024 (91%) שמעידה על חוסר ההתאמה בין קוד שנכתב ב-AI לבין המערכות שעדיין לא מותאמות לכך.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
בין הארגונים שהשתתפו, 34% העידו כי הם כותבים מעל 60% מהקוד שלהם באמצעות כלי AI, כש-18% בלבד מהארגונים הודו שקבעו מדיניות שימוש מוסדרת לכלים הללו. בנוסף, יותר מ-80% הודו שהם משחררים לפרודקשן, בהחלטה מודעת, קוד עם בעיות אבטחה ובצפון אמריקה, רק חצי מהארגונים מיישמים בפועל DevSecOps.
כלי סריקה מסורתיים כמו SAST ו-SCA יודעים לזהות דפוסי קוד אנושיים. אבל כשמודלי AI מייצרים קוד, הם יוצרים תבניות כתיבה חדשות, כאלה שהכלים האלה פשוט לא מזהים. וזה לא רק עניין של טכנולוגיה, אלא גם של תרבות עבודה: המפתחים לחוצים לעמוד בדדליין ומעדיפים פתרון מהיר על פני פתרון בטוח, רבים מאמינים בטעות שקוד שנכתב על ידי AI בטוח יותר ויש גם מי שכבר עייפים מהתראות שווא מסריקות ישנות ומתעלמים מהן. התוצאה היא קוד פגיע שמגיע לפרודקשן מהר יותר מתמיד.
כדי להתמודד עם המצב החדש, בחברה מציעים שלושה צעדים שצריך לבצע באופן מיידי:
- להיערך לעידן ה-Agentic AI: המודלים האוטונומיים כאן, והם פותחים אפשרויות תקיפה חדשות. ביקורות קוד קפדניות ומבחנים נוספים לפני פריסה לפרודקשן הם כבר לא בגדר המלצה.
- להעצים מפתחים, לא להילחם בהם: המפתחים הם קו ההגנה הראשון. צריך להנגיש להם כלי אבטחה בתוך סביבת העבודה, לצמצם "רעש" מיותר ולהכשיר אותם להבין את הסיכונים הייחודיים של קוד שנוצר ב-AI.
- לשלוט בשימוש ב-AI: אי אפשר לנהל מה שלא רואים. חייבים שקיפות מלאה על הכלים שמשתמשים בהם בצוותי הפיתוח.
ה-AI כבר חלק אינטגרלי מהפיתוח, כשהוא יכול לכתוב קוד מהר יותר ובכמויות עצומות. אבל כלי האבטחה, התהליכים והתרבות הארגונית כולם עדיין לא עדכנו גרסה ל-2025. בלי מדיניות ברורה, בלי כלים מותאמים ובלי חינוך מפתחים, הקוד שלכם יגיע לפרודקשן הרבה לפני שמישהו בכלל יבדוק מה נכנס אליו.
