Código gerado por IA expõe novas fragilidades na cadeia de valor de software

O uso generalizado de código gerado por Inteligência Artificial (IA) está a introduzir novos riscos na cadeia de valor de software, para os quais muitos programas tradicionais de Application Security (AppSec) não estão preparados. O alerta é deixado por um estudo da Black Duck, que analisou práticas de segurança associadas ao desenvolvimento assistido por IA.

De acordo com a investigação, 95% das organizações já recorrem a ferramentas de IA para gerar código. No entanto, apenas 24% aplicam avaliações abrangentes de propriedade intelectual, licenciamento, segurança e qualidade a esse código. Esta lacuna está a tornar as cadeias de fornecimento de software mais vulneráveis.

“Estamos numa nova era de rápida inovação de software, impulsionada pela IA, mas estas descobertas revelam um desafio crítico: a segurança não está a acompanhar”, afirma Jason Schmitt, CEO da Black Duck. “É imperativo que as organizações priorizem estruturas de segurança robustas, com um foco especial no código criado por IA e na gestão meticulosa de dependências, para construir cadeias de fornecimento de software verdadeiramente resilientes”.

O relatório identifica vários fatores que contribuem para uma maior maturidade em segurança. Equipas com forte controlo de dependências demonstram um nível de preparação significativamente superior na proteção de software open source. A automação e a monitorização contínua permitem ainda corrigir vulnerabilidades críticas mais rapidamente, muitas vezes no espaço de um dia.

A validação de Software Bill of Materials (SBOM) dos fornecedores surge igualmente como um elemento-chave. Organizações que validam SBOM reportam maior capacidade para avaliar software de terceiros e para resolver falhas críticas de forma mais célere. A maturidade em compliance também tem impacto direto, apesar de a complexidade regulatória continuar a ser um desafio relevante.

Jason Soroko, senior fellow da Sectigo, alerta que o código gerado por IA deve ser tratado como software de terceiros, uma vez que amplia riscos associados à proveniência, obrigações legais e vulnerabilidades exploráveis. Segundo o especialista, a IA pode agravar a dispersão de dependências e introduzir componentes opacos que os programas AppSec tradicionais não conseguem inventariar ou governar ao ritmo atual de desenvolvimento.

Para mitigar estes riscos, o responsável recomenda a aplicação automática dos mesmos controlos usados para software de terceiros, integrados diretamente nos workflows de desenvolvimento. A gestão de dependências e a validação obrigatória de SBOM são apontadas como medidas prioritárias.

Saumitra Das, vice-presidente de engenharia da Qualys, acrescenta que os analistas estimam que 95% do código será gerado por IA até 2030. Atualmente, cerca de 30% do código em grandes empresas já tem origem em IA, percentagem que sobe para entre 90% e 95% em startups em 2025.

O responsável sublinha que o volume de código gerado ultrapassa largamente a capacidade humana de revisão, o que está a impulsionar o surgimento de soluções de revisão de código baseadas em IA. Neste contexto, defende a necessidade de novas arquiteturas de segurança, incluindo modelos de IA diversificados, automação avançada para revisão e correção de código, evolução dos processos de QA e maiores garantias sobre os dados usados no treino dos modelos.

Segundo o vice-presidente em engenharia da Qualys, sem estas mudanças, a facilidade de desenvolvimento proporcionada pela IA continuará a crescer mais rapidamente do que a capacidade de as organizações garantirem responsabilidade, rastreabilidade e segurança na sua supply chain de software.