ChatGPT non sviluppa codice sicuro: la scoperta dei ricercatori

Una ricerca condotta da scienziati informatici associati all’Université du Québec in Canada ha portato a una scoperta a dir poco preoccupante: ChatGPT, il popolare chatbot di OpenAI, è incline a generare codice non sicuro. Non bastava l’allerta per l’uso del chatbot per condurre attacchi phishing, ora gli esperti segnalano la generazione di stringhe di codice vulnerabili, di cui spesso l’IA riesce comunque riconoscere le falle. Lanciato l’allarme agli sviluppatori: meglio non usare ChatGPT per sviluppare programmi, a meno che non venga condotto un intervento approfondito sul codice.

ChatGPT genera codice poco sicuro

L’uso di questo strumento, progettato dall’organizzazione no-profit di Sam Altman, per la programmazione è già promosso da milioni di programmatori alle prime armi – e non solo – in quanto facilita la realizzazione di software, script e funzionalità di vario genere. Tuttavia, con un esperimento interessante, i ricercatori Raphaël Khoury, Anderson Avila, Jacob Brunelle e Baba Mamadou Camara hanno dimostrato che ChatGPT non riesce a produrre codice sicuro.

In totale, gli esperti hanno richiesto la generazione di 21 applicazioni scritte in cinque linguaggi di programmazione: C, C++, HTML, Java e Python. Si tratta, per l’esattezza, di programmi semplici con massimo 97 righe di codice. Alla prima esecuzione, ChatGPT ha prodotto cinque applicazioni sicure su 21. Alla richiesta esplicita di modifiche per risolvere le falle di sicurezza, il chatbot ha reso sette applicazioni più sicure dalle restanti 16.

Gli autori notano, pertanto, che il modello di linguaggio crea codice “sicuro” solo quando un utente lo richiede esplicitamente:

“Parte del problema sembra essere che ChatGPT semplicemente non presuppone un modello di esecuzione contraddittorio. Se richiesta specificatamente, il chatbot fornirà all’utente una spiegazione soddisfacente del motivo per cui il codice è potenzialmente sfruttabile. Tuttavia, qualsiasi vantaggio esplicativo sarebbe disponibile solo per un utente che ‘fa le domande giuste’.”

Inoltre, gli autori sottolineano l’incoerenza etica del chatbot quando si rifiuta di creare codice di attacco ma crea comunque codice non sicuro.