Malwarebytesは4月27日(米国時間)、「ChatGPT writes insecure code」において、ChatGPTが安全ではないコードを生成する傾向にあるとする論文を紹介した。ケベック大学のコンピュータ科学者が公開した「How Secure is Code Generated by ChatGPT?」という論文が公開されたことを報じている。
実験では研究者がセキュリティを意識していない初心者のプログラマーに扮し、ChatGPTに対してC、C++、HTML、Java、Pythonの5つのプログラミング言語で書かれた21のアプリケーションを作成するよう要求している。最初の実行では21のうち5の安全なアプリケーションを作成し、変更を要求すると残りの16からさらに7の安全なアプリケーションを作成したと報告している。
この実験結果から、著者らはChatGPTが安全なコードを生成する能力があるのは、ユーザーから明確な要求がある場合に限られると主張している。また、ChatGPTが攻撃的なコードの生成を拒否するにもかかわらず、安全でないコードを生成するという矛盾が発生していると指摘している。
ChatGPTはコードの誤りを容易に認識できるにもかかわらず、デフォルトで敵対的な実行モデルを想定していないため、安全なコードを作成することができないと説明している。ChatGPTに対し、セキュリティにまつわる問題に関する適切な質問をすれば、説得力のある説明を提供するが、その恩恵を受けられるのはセキュリティ意識が高く適切な質問をするプログラマーに限られると述べている。
ChatGPTのようなAI(Artificial Intelligence)がソフトウェア開発で重要な役割を担う可能性を秘めている現代において、AIのセキュリティに対する注意はより一層高まっている。AIを利用してコードを生成する場合、ユーザー自身がセキュリティに対する意識を高め、適切な質問をすることが求められている。