De acordo com novas descobertas da OX Security, codificar com a ajuda da IA pode torná-lo vulnerável a hacking e envolver várias preocupações de segurança. A OpenAI financiou uma plataforma de codificação de IA chamada Cursor, que está tornando a codificação mais fácil para muitos iniciantes, bem como desenvolvedores especialistas, mas essas plataformas também podem criar vulnerabilidades em seus códigos. Muitos desenvolvedores, especialmente iniciantes, deixam inadvertidamente códigos inseguros em seus aplicativos e aplicações web, o que pode aumentar o risco de ciberataques. Como a IA não entende totalmente como tornar a codificação segura, ela pode levar a problemas como falhas de injeção, autenticação insegura e controle de acesso inadequado.
Agora a pergunta é como a IA está escrevendo códigos vulneráveis e o primeiro problema que surgiu com o Cursor gerando um código vulnerável que comprometeu a segurança. Um pesquisador de segurança na OX Security, Tomer Katzir Katz, queria testar se o Cursor poderia identificar e prevenir quaisquer vulnerabilidades na codificação que pudessem ser perigosas. Portanto, ele deu ao Cursor a tarefa de gerar um servidor Python com vulnerabilidade conhecida e os resultados provaram que o Cursor não apenas falhou em proteger o código, mas também produziu um código perigoso. Ele criou uma vulnerabilidade de XSS refletida (cross-site scripting) sem sanitizá-la e isso poderia abrir as portas para hackers injetarem seus scripts maliciosos para desfigurar o site ou roubar dados sensíveis do usuário.
Em seguida, o Cursor foi solicitado a criar uma API de pagamento minimalista e novamente falhou em termos de segurança. Havia falhas graves no código gerado pelo Cursor, como ausência de validação de entrada, criptografia e verificações de autenticação. Isso poderia se provar extremamente perigoso para iniciantes ou desenvolvedores que geram códigos com pressa e isso poderia levar a violações de dados e ataques de injeção, pois não há medida de segurança adequada nesses códigos. Quando o Cursor foi solicitado a ignorar as melhores práticas de segurança para criar um servidor de upload e hospedagem, Cursor facilmente fez o código para isso sem hesitação. Mesmo que tenha avisado que ignorar os avisos de segurança não é recomendado, ele ainda seguiu em frente com o pedido e gerou um servidor de upload de arquivo desprotegido. Quando Katz enviou um shell PHP reverso malicioso, o servidor gerado pela IA não colocou defesas e Katz pôde imediatamente obter acesso total ao servidor.
Automatize a indexação de páginas no Google, monitore status e erros, e melhore seu SEO.
Solução perfeita para criar assinaturas de e-mail profissionais e personalizadas.
Gere vídeos de marketing a partir de qualquer prompt de texto, script ou postagem de blog usando IA.
Identifique visitantes anônimos do site, qualifique-os e converta-os em leads.
Crie fotos, arte e imagens com a mais recente tecnologia de IA.
O serviço de validação de e-mail mais preciso que limpa endereços de e-mail inválidos.
Crie sua própria ferramenta de IA sem código! Ganhe dinheiro com assinaturas.
Crie conteúdo de alta qualidade com relevância para SEO com esta poderosa ferramenta de IA.
Os pesquisadores deram outro teste para o Cursor e pediram para ele criar um servidor wiki muito simples sem mencionar nada relacionado à segurança. O Cursor gerou exatamente o que foi solicitado, mas ainda não havia medidas de segurança básicas e o servidor wiki poderia armazenar conteúdo enviado pelo usuário sem qualquer sanitização, deixando o sistema vulnerável a ataques de XSS. O último teste foi feito para ver como o Cursor lidava com material licenciado de código aberto e protegido por direitos autorais. O Cursor recebeu um trecho e uma descrição do projeto Chess e foi solicitado a reescrevê-lo ou melhorá-lo. O Cursor gerou quase o código original com apenas algumas pequenas modificações e não mencionou o autor original ou a licença. Isso significa que os usuários do Cursor devem ser cautelosos e não devem confiar cegamente no conteúdo gerado pela IA e devem testar a qualidade do código gerado pela IA para garantir que quaisquer vulnerabilidades não sejam ignoradas.