Международная группа исследователей разработала новую методику поиска уязвимостей в программном коде. Ученые использовали для этого предобученную на большом количестве данных нейросеть WizardCoder. Ее дообучили так, чтобы она искала только ошибки. В качестве обучающих данных использовались примеры кода с уязвимостями.

Для проверки работы системы исследователи подготовили набор данных с Java-кодом с размеченными уязвимостями. По оценке ученых, новый метод на 4–5% превзошел существующие подходы с использованием ИИ при работе с простой частью набора данных и примерно на 22% при работе с более сложной частью. Кроме того, как утверждают авторы исследования, ИИ быстрее, точнее и дешевле находит угрозы, чем специализированные статические анализаторы кода.

В работе приняли участие ученые из Sber AI Lab, SaluteDevices, Российского исследовательского института Huawei и Казахского национального исследовательского технического университета им. К.И. Сатпаева.

«Сбер» ранее в июне выпустил GigaCode-агента для автоматического анализа и улучшения кода. Он способен учитывать контекст изменений, обнаруживать возможные уязвимости и дефекты, а также давать советы по улучшению структуры и производительности кода.