在软件开发领域,AI工具越来越流行。去年GitHub发布报告称,有了AI辅助工具,开发者编程速度提高55%。
但是,AI工具辅助编写的代码是不是更好呢?GitClear对2020年1月至2023年12月间编写的1.53亿行代码进行检查发现,相比以前,编写之后修改的代码行数明显增加,2024年相比2021年增加了一倍。
换言之,有了AI工具,虽然编程速度加快了,但在第一次编写时错误也大大增加了。形象地说,用AI辅助编写代码,就像聘请一名短期合同工为你工作,他关心的是如何编写冗长的代码,而不是保证代码的可维护性。
AI会复制原有代码的错误
开发者安全公司Snyk在报告中指出,GitHub AI编程辅助工具Copilot并不安全,如果已有代码库本身存在安全问题,工具编写的代码同样也会不安全。
Snyk在2月22日的报告中指出,Copilot会复制代码中存在的安全问题,如此一来,已有安全隐患会让Copilot代码更加不安全。
市场上已经出现不少生成式AI编程工具,比如亚马逊CodeWhisperer,ChatGPT等。现有工具的最大问题在于:它无法理解语义,所以无法对代码作出评判。
GitHub Copilot从海量过往代码中学习,形成特定模式和结构,然后生成代码片段。这套学习方法有一定优势,但也有一个缺陷。Copilot代码可能会复制已有安全漏洞,或者复制相邻文件中的不良案例。
如何降低影响呢?Snyk给出一些建议:包括开发者手动检查代码;安全团队应该设立SAST护栏;开发者应该遵守安全编程指南;安全团队应该给开发团队培训,将每个团队的积压问题分类,按优先级排序;执行团队应该强制设置安全护栏。
一般来说,平均每个商务软件项目的第一手代码都会有40个漏洞,当中约三分之一都是高危漏洞。AI生成工具会复制这些漏洞,影响恶劣。跨站脚本攻击(cross-site scripting,XSS)、路径穿越(Path Traversal)、SQL注入、硬编码加密密钥等安全问题比较常见。
所以,行业几乎有一个共识:就眼下来看,AI辅助编程还没有迎来黄金时代,AI还不够好。
但AI辅助编程未来可期
GitHub CEO Thomas Dohmke不久前接受采访时表示:“开发者已经进入AI时代。现在的问题已经很明确,你准备以多快的速度上船?你是不是准备继续沉醉于过去,站在历史错误的一边,忽视生产力提升的大好机遇?”
GitHub Copilot实际上归微软所有,最新财报显示,最近一个季度Copilot付费用户数已经突破130万,相比前一个季度猛增30%,已经有5万家企业使用Copilot。
Thomas Dohmke称,平台上用户编写的代码约有一半是AI生成的。Thomas Dohmke认为,社区已经普遍接受一个观点,即AI生成代码需要人类程序员监督审核。
值得一提的是,新手程序员特别喜欢使用Copilot,因为它能协助解决编程难题。
随着编程自动化程度的增加,代码中的错误可能会越来越多,这点其实已经引起争论。Thomas Dohmke称,自Copilot引入之后错误增加数量比较“正常”,没有证据证明AI导致错误猛增。
真是这样吗?未必。新手程序员大规模使用AI,一旦出现错误,新手可能无法发现,整个代码的质量可能会下降。
微软对AI工具充满期待,除了编程,它还希望Copilot能帮助用户写邮件、制作电子表格、分析Office文档。微软甚至还为Windows PC键盘增加一个“Copilot”按键。谷歌也在开发类似工具。
微软CEO纳德拉在最近的财报会议上表示,围绕GitHub Copilot和它的生产力问题,我们已经看到很多的证据和数据,结果不错。纳德拉预计其它Copilot应用也会带来良好效果。
总之,目前Copilot还是新生事物,相信再过一段时间,当我们拥有更多数据,就能对上述问题有更深刻理解。