DevSecOps krizė: dirbtinio intelekto integracija atvėrė sistemines saugumo spragas programinės įrangos konvejeriuose

Artūras Malašauskas 2026-06-12 5 min skaitymui

Dirbtinio intelekto bumas programinės įrangos kūrime sukėlė nenumatytą DevSecOps krizę, kai pusė gamybinio kodo jau generuojama mašinų, o saugumo komandos nebespėja suvaldyti drastiškai išaugusio pažeidžiamumų srauto. Organizacijoms aklai pasitikint automatizacija, pramonė susiduria su nauju „halucinacijų skolos“ fenomenu, grasinančiu paralyžiuoti skaitmeninės infrastruktūros stabilumą.

Dirbtinio intelekto (DI) įrankių bumas iš esmės transformavo programinės įrangos inžineriją, tačiau kartu sukėlė nenumatytą saugumo krizę tradicinėse DevSecOps ekosistemose. Naujausi rinkos tyrimai rodo, kad inžinerijos komandos, siekdamos maksimalaus produktyvumo, masiškai integruoja DI generuojamą kodą, visiškai nespėdamos užtikrinti jo patikros. Šis automatizacijos ir saugumo kontrolės atotrūkis sukuria palankią terpę kritinėms pažeidžiamumų grandinėms atsirasti dar pradinėse vystymo stadijose.

Remiantis rinkos tyrimų bendrovės „CensusWide“, veikusios Checkmarx užsakymu, duomenimis, net 96 % organizacijų savo programinės įrangos kūrimo procesuose jau naudoja DI elementus, o beveik pusė (49 %) gamybinėse aplinkose veikiančio kodo buvo sugeneruota būtent DI asistentų. Toks staigus technologinis šuolis lėmė tai, kad 70 % specialistų fiksuoja drastiškai išaugusį aptinkamų saugumo spragų skaičių. Paradoksalu, tačiau inžinieriai dabar priversti praleisti vidutiniškai pusę savo darbo savaitės spręsdami saugumo problemas, o tai anuliuoja DI žadamą greičio pranašumą.

Siekis kuo greičiau išleisti produktą į rinką verčia organizacijas priimti rizikingus strateginius sprendimus. Kaip atskleidžia CIO apžvalga, apie 30 % programinės įrangos kūrėjų prisipažįsta sąmoningai patvirtinantys ir išleidžiantys pažeidžiamą kodą į gamybines aplinkas, tikėdamiesi, kad spragos tiesiog nebus pastebėtos. Toks elgesys demonstruoja gilią sisteminę krizę, kurioje automatizuoti įrankiai generuoja kodą sparčiau, nei saugumo komandos pajėgia jį validuoti, patvirtinti ir pritaikyti reikiamus pataisymus.

Saugumo automatizavimo įrankių ir kompetencijų deficitas

Didžiausias iššūkis šiuolaikinėse CI/CD (nuolatinio integravimo ir pristatymo) grandinėse yra pasenęs požiūris į statinę kodo analizę (SAST) bei priklausomybių stebėseną. Nors inžinieriai aprūpinti baziniais saugumo įrankiais, tik 18 % jų vykdo nepertraukiamą kodo skenavimą jo rašymo metu. Tai reiškia, kad klaidos pastebimos per vėlai, o jų taisymas vėlesnėse stadijose reikalauja didžiulių laiko resursų. Situaciją dar labiau apsunkina trečiųjų šalių bibliotekų valdymas – Datadog atliktas tyrimas atskleidė, kad beveik visos organizacijos savo veikiančiose paslaugose turi žinomų, lengvai išnaudojamų pažeidžiamumų, o atvirojo kodo priklausomybės nuo naujausių stabilių versijų vidutiniškai atsilieka daugiau nei 270 dienų.

Strateginis poslinkis link autonominio klaidų taisymo

Rinkos lyderiai pradeda suprasti, kad vien tik problemų aptikimas nebeišgelbės saugumo komandų nuo informacinio triukšmo ir įspėjimų nuovargio (angl. alert fatigue). OX Security ekspertai pabrėžia, kad prioritetas privalo persikelti nuo paprasto pažeidžiamumų kolekcionavimo prie gilaus konteksto supratimo, analizuojant realų kodo elgesį gamybinėje aplinkoje bei nustatant, ar spraga apskritai yra pasiekiama piktavaliams. Dėl šios priežasties rinkoje formuojasi nauja tendencija – pažangios organizacijos diegia išmaniojo taisymo sistemas (angl. intelligent remediation), kurios ne tik identifikuoja defektus, bet ir autonomiškai sugeneruoja bei pritaiko saugumo pataisas, taip sugrąžindamos iki 30 % prarasto programuotojų laiko.

Agentinio programavimo rizika ir ateities perspektyvos

Prognozuojama, kad artimiausiu metu įmonių taikomosios programos vis labiau kliausis autonominiais DI agentais, atliekančiais užduotis be tiesioginės žmogaus priežiūros. Saugumo tyrimų bendrovės Cycode teigimu, nekontroliuojamas šių agentų teisių eskalavimas tampa viena opiausių grėsmių. Jeigu organizacijos nepritaikys minimalių privilegijų principo (angl. least privilege) ir nereikalaus žmogaus patvirtinimo atliekant kritines operacijas, tokias kaip duomenų bazių modifikavimas ar finansinės transakcijos, DI valdomų sistemų stabilumas ir verslo duomenų saugumas atsidurs kritiniame pavojuje.

Giluminė krizės anatomija: kas lieka už oficialių ataskaitų ribų

Žvilgsnis už kulisų: Tikroji DevSecOps krizės priežastis nėra vien technologijų nesuderinamumas, o gilėjantis kultūrinis konfliktas tarp verslo spaudimo greičiui ir saugumo komandų fizinių galimybių. Įmonių vadovai, siekdami pademonstruoti akcininkams greitą DI investicijų grąžą, reikalauja viena po kitos leisti naujas funkcijas. Tai sukuria situaciją, kai saugumo inžinieriai yra tiesiog apeinami. Tradiciniai saugumo procesai buvo sukurti remiantis prielaida, kad kodą rašo žmonės, o tai reiškė prognozuojamus kodo apimties augimo tempus ir periodinius patikrinimus. Šiandien DI asistentai per kelias sekundes sugeneruoja tūkstančius kodo eilučių, o tai visiškai paralyžiuoja rankinį auditą ir rankiniu būdu konfigūruojamus testavimo scenarijus.

Didžiausią susirūpinimą rinkos ekspertams kelia techninės skolos (angl. technical debt) pobūdžio pasikeitimas. Anksčiau ši skola reiškė neoptimaliai parašytą, bet suprantamą kodą. Dabar organizacijos kaupia vadinamąją „halucinacijų skolą“, kai į gamybines sistemas patenka DI sugalvotos, realiai neegzistuojančios bibliotekos ar klaidingos funkcinės priklausomybės. Piktavaliai jau išmoko išnaudoti šį fenomeną, kurdami kenkėjiškus paketus su populiariomis DI halucinacijų pavadinimų variacijomis viešosiose saugyklose. Taip programuotojai, patys to nežinodami, per DI sugeneruotas rekomendacijas įtraukia užkrėstą trečiųjų šalių kodą tiesiai į įmonės vidinę infrastruktūrą.

Ši situacija iš esmės keičia ir pačių programuotojų atsakomybės suvokimą. Jaunesnieji specialistai vis labiau pasitiki DI sistemų išvestimi, prarasdami kritinį mąstymą ir gebėjimą pastebėti subtilias logines klaidas. Kai saugumo incidentas galiausiai įvyksta, prasideda vidiniai įmonių konfliktai ieškant kaltų – programuotojai linkę kaltinti įrankį, o saugumo komandos pabrėžia kodo autoriaus atsakomybę. Kol teisinė ir reguliacinė aplinka nenumato aiškių gairių dėl DI sugeneruoto kodo teisinės atsakomybės, įmonės lieka pilkojoje zonoje, kurioje rizika yra perkeliama galutiniam vartotojui.

Norėdamos išbristi iš šios aklavietės, pažangios organizacijos privalo atsisakyti požiūrio, kad saugumas yra tik baigiamasis programinės įrangos kūrimo etapas. Būtina pereiti prie visiškos procesų automatizacijos, kur saugumo taisyklės yra integruotos tiesiai į DI modelių raginimus (angl. prompts) ir inžinerines aplinkas. Tik realaus laiko kontekstinė analizė, veikianti dar prieš kodui patenkant į bendrą saugyklą, gali suvaldyti šį nekontroliuojamą srautą. Priešingu atveju, DI sukurta programinė įranga taps per daug trapi, kad atlaikytų modernias kibernetines atakas.

Skeptiko žvilgsnis: aklas tikėjimas automatizacija ir nauji industrijos paradoksai

Žvelgiant giliau į detales: Didžiausia dabartinio DevSecOps naratyvo iliuzija – prielaida, kad dirbtinio intelekto sukeltas problemas galima išspręsti dar didesniu dirbtinio intelekto kiekiu. Rinkoje stebimas paradoksalus ciklas: organizacijos naudoja DI įrankius tam, kad generuotų kodą nenumatytu greičiu, tuomet perka kitus DI įrankius tam, kad tą kodą tikrintų, ir galiausiai planuoja diegti trečius DI agentus, kurie autonomiškai taisytų aptiktas klaidas. Šis metodas primena bandymą gesinti gaisrą benzinu, tikintis, kad cheminė reakcija galiausiai nuslopins liepsnas. Realybėje toks modelis tik padidina sistemos kompleksiškumą ir sukuria naujus pažeidžiamumo vektorius pačiuose saugumo įrankiuose.

Rinkos analitikai dažnai nutyli faktą, kad didžioji dalis „išmaniųjų taisymo sistemų“ tebėra pradinėje stadijoje ir dažnai generuoja sintaksiškai teisingus, tačiau logiškai ydingus pataisymus. Kai saugumo komandos aklai pasitiki automatiniu klaidų šalinimu, jos rizikuoja į gamybines aplinkas įsileisti dar sunkiau aptinkamus loginius pažeidžiamumus. Be to, toks požiūris devalvuoja žmogaus atliekamos peržiūros (angl. code review) vertę. Kai inžinieriai tampa tik pasyviais DI sugeneruotų pranešimų patvirtintojais, jų gebėjimas suprasti bendrą sistemos architektūrą ir numatyti netipines grėsmes drastiškai mažėja.

Ilgalaikėje perspektyvoje šis saugumo kontrolės deficitas gali lemti pramonės pasitikėjimo krizę. Jei organizacijos nesugebės subalansuoti DI generavimo greičio su adekvačiu validavimu, mes pamatysime masinį programinės įrangos kokybės nuosmukį, kurį lydės vis dažnesni ir platesnio masto infrastruktūriniai incidentai. Tikrasis strateginis pranašumas teks ne toms įmonėms, kurios sugeneruos daugiausiai kodo per minutę, o toms, kurios sugebės sukurti griežtus, hibridinius procesus, grąžinančius patyrusį žmogų-auditorių į kritinius sprendimų priėmimo taškus.

„Mes praleidome dešimtmečius bandydami išmokyti žmones rašyti saugų kodą, o dabar džiaugsmingai delegavome šią užduotį mašinoms, kurios mokėsi iš tų pačių mūsų darytų klaidų. Tikėtis kitokio rezultato yra tikrasis inžinerinis optimizmas.“

Vyr. redaktorius Artūras Malašauskas, DI sistemų integratorius, sukaupęs daugiau nei 20 metų patirties kuriant gamybinio lygio žiniatinklio inžinerijos sprendimus. Jis projektavo, diegė ir plėtė verslo klasės „Python“/„PHP“ sistemas logistikos, SaaS bei viešojo sektoriaus klientams. Pastaruosius metus jis specializuojasi išskirtinai DI integracijų srityje: diegia atvirojo kodo didžiuosius kalbos modelius (LLM), kuria generatyvinių medijų (vaizdo, garso, video) srautus bei projektuoja daugiagentines darbo eigas realioms gamybinėms aplinkoms. Jo standartas: atkuriamumas, saugumas ir ekonomiškai efektyvi išvestis – jokio „vaporware“. Artūras dokumentuoja bei vertina naujus DI įrankius, atskirdamas patvirtintas galimybes nuo rinkodarinio triukšmo. Techninis redaktorius svetainėse: ai-naujienos.lt, ai-verslas.lt, muza-ai.eu. Susisiekite per „LinkedIn“.