Der GitHub Copilot hat schon kurz nach Veröffentlichung für viel Kritik gesorgt. Die Free Software Foundation kritisierte beispielsweise, dass der KI-Assistent anhand von Open-Source-Software trainiert wurde, obwohl das Tool selbst und der daraus resultierende Code keine freie Software ist. Aber auch aus anderen Gründen sollten sich Entwickler:innen gut überlegen, ob und wie sie die Software einsetzen. Denn laut einem aktuellen Paper generiert der Copilot nicht selten unsicheren Code.
Die Autoren des Papers haben sich für ein Experiment insgesamt 89 unterschiedliche Szenarios ausgedacht, aus denen am Ende 1.692 Programme in verschiedenen Programmiersprachen hervorgingen. Anschließend untersuchten sie die Sicherheit des erzeugten Codes anhand der aktuellen Liste der 25 häufigsten Software-Schwachstellen. Das Ergebnis: Rund 40 Prozent des erzeugten Codes wies Schwachstellen auf.
Entwickler:innen sollten Copilot-Code gut überprüfen
Grundsätzlich sind die Forscher nicht gegen den Einsatz von KI-Assistenten. „Es steht außer Frage, dass ‚Autovervollständigungs‘-Tools der nächsten Generation wie GitHub Copilot die Produktivität von Softwareentwicklern steigern werden“, glauben die Autoren des Papers, aber werfen ein: „Während Copilot jedoch schnell gewaltige Mengen an Code generieren kann, zeigen unsere Ergebnisse, dass Entwickler wachsam (‚wach‘) bleiben sollten, wenn sie Copilot als Co-Pilot verwenden.“
„Idealerweise sollte Copilot sowohl beim Training als auch bei der Generierung mit geeigneten sicherheitsbewussten Werkzeugen gekoppelt werden, um das Risiko der Einführung von Sicherheitslücken zu minimieren“, raten die Forscher. Mithilfe von GitHubs Copilot generierten Code einfach einzusetzen, halten die Wissenschaftler hingegen für gefährlich.