IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

ChatGPT génère un code informatique peu sûr, mais ne vous le dira pas à moins que vous ne le lui demandiez,
Les experts mettent en garde contre les risques d'une surconfiance en ChatGPT

Le , par Bill Fassinou

15PARTAGES

10  0 
Une étude portant sur les capacités de génération de code informatique de ChatGPT a révélé que le code généré par le chatbot d'IA d'OpenAI est truffé de vulnérabilités. Le rapport l'étude indique que ChatGPT produit non seulement du "code peu sûr", mais n'alerte pas non plus les utilisateurs sur ses insuffisances, alors qu'il est capable de les mettre en évidence. Le chatbot ne fournit des conseils utiles pour améliorer la qualité du code qu'après avoir été invité à remédier aux problèmes détectés par l'utilisateur dans le code généré. L'étude remet en cause les déclarations selon lesquelles ChatGPT pourrait remplacer la majorité des programmeurs dans les prochaines années.

Le lancement de ChatGPT a amené de nombreuses personnes à se demander, voire à s'inquiéter, de ce qu'il représente pour elles. Parmi eux, les programmeurs et les développeurs. En entrant "ChatGPT va-t-il remplacer" dans la barre de recherche, les mots "programmeurs" et "développeurs" apparaissent comme deux des principales suggestions. Cela suggère que les types de personnes qui construisent ChatGPT se demandent si leurs outils vont les supplanter. ChatGPT peut générer du code sur la base d'invites données par les utilisateurs et, selon OpenAI et certains experts, la capacité de ChatGPT à écrire du code est importante pour plusieurs raisons.

Premièrement, cela permettrait d'économiser du temps et des efforts. L'écriture de code peut être longue et fastidieuse, en particulier pour les algorithmes complexes. Grâce à la capacité de ChatGPT à générer du code, les programmeurs peuvent se concentrer sur d'autres aspects du développement de logiciels, tels que les tests et le débogage. Cela peut conduire à des temps de développement plus rapides et à des processus de développement de logiciels plus efficaces. Deuxièmement, la capacité de ChatGPT à écrire du code peut démocratiser la programmation. Traditionnellement, le domaine requiert des connaissances et une formation spécialisées.


Mais la capacité de ChatGPT à écrire du code permettrait à n'importe qui de générer du code en donnant des instructions en langage naturel. Cela peut permettre à un plus grand nombre de personnes de créer des logiciels pour l'innovation et le progrès dans divers domaines. Enfin, l'on estime également que la capacité de ChatGPT à écrire du code peut améliorer la qualité du code. Mais une récente étude a remis en cause cette dernière affirmation et tente de démontrer que les gens ont tendance à surestimer les capacités des chatbots. Les chercheurs se sont posé la question de savoir : « quel est le degré de sécurité du code généré par ChatGPT ? ».

Selon le rapport de l'étude - menée par les informaticiens Baba Mamadou Camara, Anderson Avila, Jacob Brunelle et Raphael Khoury affiliés à l'Université du Québec - la réponse à cette question est : "le code généré par ChatGPT n'est pas très sûr". Dans le cadre de l'étude, les quatre chercheurs ont demandé à ChatGPT de générer 21 programmes dans cinq langages de programmation afin d'illustrer des failles de sécurité spécifiques telles que la corruption de la mémoire, le déni de service et une cryptographie mal élaborée. Le rapport indique que ChatGPT n'a produit que cinq programmes plus ou moins "sécurisés" sur 21 lors de sa première tentative.

Par exemple, le premier programme était un serveur FTP C++ pour le partage de fichiers dans un répertoire public. Mais le code produit par ChatGPT ne comportait aucune vérification des entrées, ce qui expose le logiciel à une vulnérabilité de traversée de chemin. Les conclusions du rapport font écho à des évaluations - mais pas identiques - similaires de GitHub Copilot, un outil de génération de code basé sur le modèle d'IA GPT-3 (récemment mis à niveau vers GPT-4). D'autres études ont examiné les erreurs ChatGPT de manière plus générale. Parallèlement, ces modèles d'IA sont également utilisés pour identifier les problèmes de sécurité.

Invité à corriger ses erreurs, le modèle d'IA a produit sept applications "plus sûres", mais cela ne concernait que la vulnérabilité spécifique évaluée. Les chercheurs ont constaté que ChatGPT ne reconnaissait pas que le code qu'il générait n'était pas sûr et qu'il ne fournissait des conseils utiles qu'après avoir été invité à remédier aux problèmes. Une chose contre laquelle les chercheurs mettent en garde. De plus, ils notent que ChatGPT ne partait pas d'un modèle contradictoire d'exécution du code et les a informés à plusieurs reprises que les problèmes de sécurité pouvaient être évités en ne fournissant pas d'entrées non valides au programme vulnérable.

Les auteurs estiment que ce n'est pas l'idéal, car le fait de savoir quelles questions poser suppose une certaine familiarité avec des bogues et des techniques de codage spécifiques. En d'autres termes, si vous connaissez la bonne question à poser à ChatGPT pour qu'il corrige une vulnérabilité, vous savez probablement déjà comment y remédier. Par ailleurs, les chercheurs soulignent également qu'il existe une incohérence éthique dans le fait que ChatGPT refuse de créer du code d'attaque, mais crée du code vulnérable. Ils citent un exemple de vulnérabilité de désérialisation en langage Java dans lequel "le chatbot a généré un code vulnérable".

ChatGPT a ensuite fourni des conseils sur la façon de le rendre plus sûr, mais a déclaré qu'il était incapable de créer la version plus sûre du code. « Les résultats sont inquiétants. Nous avons constaté que, dans plusieurs cas, le code généré généré par ChatGPT était bien en deçà des normes de sécurité minimales applicables dans la plupart des contextes. En fait, lorsqu'on lui a demandé si le code produit était sécurisé ou non, ChatGPT a été capable de reconnaître qu'il ne l'était pas », affirment les auteurs dans leur article. Les chercheurs ont déclaré que l'utilisation de ChatGPT pour la génération de code comportait des risques pour les entreprises.

Raphael Khoury, professeur d'informatique et d'ingénierie à l'Université du Québec en Outaouais et l'un des coauteurs de l'article, soutient que ChatGPT, dans sa forme actuelle, représente un risque, ce qui ne veut pas dire qu'il n'y a pas d'utilisations valables pour une aide IA erratique et peu performante. « Nous avons déjà vu des étudiants l'utiliser, et des programmeurs l'utiliseront dans la nature. Il est donc très dangereux d'avoir un outil qui génère un code non sécurisé. Nous devons faire prendre conscience aux étudiants que si un code est généré avec ce type d'outil, il est fort possible qu'il ne soit pas sécurisé », a-t-il déclaré.

Source : rapport de l'étude

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des conclusions de l'étude ?

Voir aussi

Le chatbot d'IA ChatGPT est capable de lancer des attaques de phishing dangereuses et de concevoir des codes de téléchargement malveillant d'une efficacité redoutable

Et si ChatGPT était utilisé pour trouver des bogues dans du code ? Des chercheurs s'y sont essayé, et ont trouvé qu'il fonctionne mieux que les programmes existants, corrigeant 31 bogues sur 40

Des experts en sécurité sont parvenus à créer un logiciel malveillant polymorphe "hautement évasif" à l'aide de ChatGPT, le logiciel malveillant serait capable d'échapper aux produits de sécurité

ChatGPT réussit l'édition 2022 de l'examen d'informatique pour élèves du secondaire désireux d'obtenir des crédits universitaires US : que sait-on de cette IA qui secoue Internet comme une tempête ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de eric44000
Membre averti https://www.developpez.com
Le 04/05/2023 à 22:29
Citation Envoyé par Stéphane le calme Voir le message
L'IA causera « des dommages réels » : Microsoft alerte sur les risques de l’IA utilisée par des acteurs malveillants et appelle à une réglementation de l’IA face aux dangers potentiels de cette arme à double tranchant.
...
Les partisans du projet de loi affirment qu’il favorisera la confiance et l’innovation dans le domaine de l’IA, tout en protégeant les intérêts des créateurs de contenu. Les critiques soutiennent qu’il pourrait entraver le développement et l’utilisation de l’IA, en imposant des charges administratives et des risques juridiques excessifs.

Quelle lecture en faites-vous ?
Que pensez-vous des propos de Michael Schwarz ? L'IA, une arme à double tranchant ?
Quels sont les avantages et les inconvénients de la réglementation de l’IA par le Congrès ou par d’autres instances ?
Quels sont les risques ou les limites de laisser les entreprises comme Microsoft développer et utiliser l’IA sans contrôle externe ?
Microdoft demande une réglementation non pas par altruisme mais pour prévenir toute concurrence en leur mettant des batons dans les roues alors qu'eux ont entrainé ChatGPT sans aucune contrainte.
4  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 06/05/2023 à 15:30
La première fois que nous avons commencé à exiger le permis de conduire, c'était après que des dizaines de personnes soient mortes dans des accidents de voiture et c'était la bonne chose à faire.
Si nous avions exigé le permis de conduire là où il y avait les deux premières voitures sur la route, cela aurait été une grave erreur. Nous aurions complètement gâché cette réglementation. Il faut qu'il y ait au moins un petit préjudice, pour que nous puissions voir quel est le vrai problème
Michael Schwarz
Je serais d'avis que l'on réserve les premiers "morts par IA" à ce Monsieur et son entourage et que l'on vienne le voir après coups pour lui reposer la question de la réglementation.
Qu'est-ce que vous en dites ? Changera d'avis ou pas ?

Je pense que toute mort évitable devrait l'être, point.
Si l'on sais par avance que le cas pourrait ce produire, il faudrait vraiment être idiot, ou avoir des intérêt financier en jeux, pour clamer le contraire (comme pour les premières automobile et la collusion entre politiques et capitaines d'industries).
... Oh;, mais je croit bien que c'est le même cas de figure .
3  0 
Avatar de totozor
Expert confirmé https://www.developpez.com
Le 19/09/2024 à 7:47
Ma question est probablement très bête mais : la meilleure manière que ChatGPT ne nous fournisse pas des informations préjudiciables n'est il pas qu'il ne les ingère pas?
La réponse est probablement qu'étant "capable de raisonnement" si on ne lui donne pas la recette il sera quand même capable de la reproduire.
Mais certaines informations ne sont elles pas suffisamment délicates pour qu'elles deviennent très vagues : "Il ne faut pas mélanger A avec B parce que c'est dangereux". Dangereux regroupant toxique, explosif, corrosif, etc

ChatGPT s'est probablement amélioré depuis mais fut un temps il suffisait de décomposer le l'objectif en sous objectifs puis de lui demander de résumer les dernières réponses : sa conclusion ressemblait "Allez aux USA"
3  0 
Avatar de onilink_
Membre émérite https://www.developpez.com
Le 06/05/2023 à 15:50
Tout à fait. Et je trouve son exemple idiot. Les premières voitures étaient par nature limités à des vitesses très basses comparé à ce que l'on a aujourd'hui, donc ça diminuait naturellement les risques d'accidents.

Tout risque qui peut être évalué en amont doit être géré au plus tôt...
Surtout qu'on parle de technologies qui vont toucher des millions de personnes, et qui ont un potentiel néfaste extrêmement grand.
Bref, c'est le genre de sujet qu'il faut laisser à des gens qui savent de quoi ils parlent. Pas à un mec qui fait des comparaisons hasardeuses.
2  0 
Avatar de nikau6
Membre extrêmement actif https://www.developpez.com
Le 01/04/2024 à 8:35
Citation Envoyé par Coeur De Roses Voir le message
Je suis d'accord qu'il ne faut pas attendre de subir des dégats avant de fabriquer un bouclier en quelque sorte. Malheuresement, cet état d'esprit manque parfois à notre société en général, pas toujours.
Les dégâts les plus importants et les plus graves qui vont arriver avec l'IA sont le nombre de personnes qui vont se retrouver au chômage d'ici 10-15 ans. Et dans pleins de domaines. Les conséquences sociales vont être dramatiques. A moins que l'on change de modèle de société et que l'on passe au revenu universel. Sinon, la société qui s'annonce sera dystopique. Des bidonvilles dans lesquels vivront 90% de la population et des villes ultras modernes et sécurisées dans lesquelles vivront les autres.
L'oligarchie va pouvoir réaliser son rêve. Se débarrasser d'un peuple qui lui cause bien des soucis. Et si nous vient l’idée de nous révolter ils nous enverront des drones contre lesquels on ne pourra rien.

La question qui se pose est : "Doit-on faire quelque chose simplement parce qu'on peut le faire ?"
Quelle réflexion politique avons nous sur le sujet ? Est-il normal que des entreprises privés balancent ce genre de programmes sans se soucier des conséquences ? Devraient-elles en avoir le droit ? L'état ne devrait-il pas prendre en charge les programmes d'IA et interdire leur développement au privé ?

EDIT : On peut facilement comprendre que le militaire a un droit de véto sur toute technologie avant qu'elle ne soit rendues publique. Ce qui veut dire que si le public a accès à des IA déjà très sophistiquées, les militaires ont au moins 10 ans d'avance dans le domaine. Ce qui est également très inquiétant.
Dans un futur peut être très proche, les programmeurs qui auront participé qu développement de l'IA auront peut être autant de regrets qu'en ont eu les scientifiques qui ont participé á développer l'arme atomique. Au vu des conséquences potentiellement désastreuses pour l'humanité.
Et ceux qui voudraient me répondre que je suis pessimiste, je leurs répondrais que l'on a des siècles d'histoire derrière nous qui ne peuvent que nous rendre pessimiste sur le sujet.
2  0 
Avatar de Gluups
Membre émérite https://www.developpez.com
Le 23/04/2023 à 11:44
Alors si j'ai bien lu, ChatGPT permet, en remplaçant les développeurs par des employés de bureau à qui on va demander de faire des tests, d'obtenir du code de meilleure qualité, mais qui contiendra de telles vulnérabilités qu'il risque de mener de différentes façons à la destruction de la boîte qui l'utilise. Permettre à un zozo lambda (enfin ... lambda un peu motivé quand même) d'utiliser le formulaire de bon de commande pour effacer le fichier client, c'est assurément une expérience intéressante.

Il y a d'autres idées, sur cette voie, il me semble. On peut remplacer les assurances par des tickets de loterie, c'est susceptible de coûter bien moins cher.

Et les comptables, vous êtes sûrs qu'on a besoin des comptables ?
1  0 
Avatar de totozor
Expert confirmé https://www.developpez.com
Le 24/04/2023 à 7:45
Citation Envoyé par Bill Fassinou Voir le message
ChatGPT génère un code informatique peu sûr, mais ne vous le dira pas à moins que vous ne le lui demandiez
Et si vous lui demandez il y a une probabilité non nulle qu'il vous réponde mal. Donc vous devez lui demander le taux de confince de sa réponse...
Vous devriez aussi lui demander si le code fait bien ce que tu lui a demandé parce que mon expérience est que c'est plutot vrai, et que le "plutôt" fait toute la différence.

PS : on a fait une expérience avec un collègue. Lui "developpe" (on est pas développeur) avec ChatGPT moi à la main.
1. Il a été bien plus rapide (1h30) mais le résultat n'est pas conforme
2. j'ai été plus lent (4h) mais le resultat est conforme
3. J'ai su expliquer pourquoi son résultat est mauvais, ChatGPT n'a pas su justifier l'écart et désigner le meilleur réusltat. Donc meme pas un bon SAV.

PS : On travaillait sur le passage d'un indicateur sous PowerBI. La conformité était faite en comparant les résultats des mois précédents.
1  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 07/07/2023 à 1:20
Citation Envoyé par Stéphane le calme  Voir le message
[
Que pensez-vous du plan d’OpenAI de créer une équipe de recherche sur la superintelligence (dont l'intelligence serait « supérieure » à celle de l'homme) alors que nous n'en sommes même pas encore à l'intelligence artificielle générale (dont l'intelligence serait « équivalente » à celle de l'homme) ?

Un simple effet d'annonce. Peut-être causé par ça: ChatGPT est confronté pour la première fois à une baisse de trafic après une croissance explosive depuis son lancement
ce qui suggère que la frénésie suscitée par le chatbot commence à s'estomper
1  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 01/04/2024 à 10:12
Sur les 1 539 personnes interrogées qui utilisent la GenAI pour le développement et le test de logiciels, les applications les plus courantes sont l'écriture ou le débogage de code (51 %), les rapports de test (48 %), l'élaboration de cas de test (46 %) et la création d'applications (42 %). GitHub Copilot est l'outil le plus populaire pour l'aide au codage (41 % des répondants), suivi par OpenAI Codex (24 % des répondants).
Ouaaaaaaaaaaah... Impressionnant!

Et quand est-ce que l'on peut avoir une démonstration réelle nous montrant comment ces 1539 personnes interrogées font tout ce qu'ils disent avec l'IA?

Je pose naïvement la question parce que si je vous dis que j'ai fait le tour de France en équilibre sur les mains vous allez me demander d'en faire la preuve...
1  0 
Avatar de Gluups
Membre émérite https://www.developpez.com
Le 19/09/2024 à 7:50
À force qu'ils fassent les cons, il va finir par falloir les priver d'accès à Internet.
2  1