งานวิจัยระบุ โค้ดที่สร้างโดย AI เกือบครึ่งมีช่องโหว่เสี่ยงความปลอดภัย หากใช้โดยไม่ตรวจสอบ
รายงานล่าสุดจาก Veracode ในชื่อ 2025 GenAI Code Security Report เผยผลการทดสอบความปลอดภัยของโค้ดที่สร้างโดยโมเดลปัญญาประดิษฐ์ (LLM) มากกว่า 100 รุ่น ทั้งโมเดลยอดนิยมอย่าง GPT ของ OpenAI, Claude ของ Anthropic, CodeWhisperer ของ Amazon รวมถึงโมเดลอื่น ๆ ที่กำลังถูกใช้งานในวงการพัฒนาซอฟต์แวร์อย่างกว้างขวางในปัจจุบัน
การทดสอบนี้ออกแบบให้โมเดล AI เหล่านี้สร้างโค้ดสำหรับโจทย์ที่ซับซ้อนจำนวน 80 แบบ ซึ่งแต่ละโจทย์มีทั้งวิธีการเขียนที่ปลอดภัยและไม่ปลอดภัยแฝงอยู่ เพื่อดูว่า AI จะสามารถเลือกแนวทางที่ปลอดภัยได้หรือไม่ ผลที่ได้คือ โค้ดที่ AI สร้างสามารถผ่านการตรวจสอบความปลอดภัยได้เพียง 55% ขณะที่อีก 45% นั้นพบช่องโหว่ที่จัดอยู่ในกลุ่มร้ายแรงตามมาตรฐาน OWASP Top 10 เช่น SQL Injection, Cross-site Scripting (XSS), Log Injection รวมถึงการเข้ารหัสที่ไม่ปลอดภัย
ในรายงานยังระบุเพิ่มเติมว่าภาษาโปรแกรมที่เสี่ยงที่สุดคือ Java ซึ่งมีโค้ดจาก AI ที่ไม่ผ่านเกณฑ์ความปลอดภัยถึงกว่า 70% ขณะที่ภาษาอื่น ๆ อย่าง Python, JavaScript และ C# ก็พบปัญหาในอัตรา 38–45% ซึ่งแสดงให้เห็นว่าปัญหานี้ไม่ได้จำกัดอยู่แค่บางภาษาหรือบางโมเดลเท่านั้น แต่เป็นความเสี่ยงที่พบได้ทั่วไปเมื่อใช้ AI coding assistants โดยไม่ผ่านกระบวนการทบทวนจากนักพัฒนามนุษย์
นอกจากนี้ รายงานยังเปิดเผยว่าแม้ LLM รุ่นใหม่ ๆ ที่มีพารามิเตอร์มากขึ้นจะสามารถสร้างโค้ดที่มีไวยากรณ์ถูกต้องและรันผ่านได้มากขึ้น แต่ “ความสามารถด้านความปลอดภัย” ของโค้ดกลับไม่เพิ่มขึ้นตามไปด้วย นั่นหมายความว่าปัญหานี้ไม่ได้เกิดจากขนาดของโมเดล หรือความฉลาดของ AI เพียงอย่างเดียว แต่สะท้อนถึงข้อจำกัดเชิงโครงสร้างของโมเดล LLM ในการ “เข้าใจ” แนวคิดด้าน secure coding อย่างแท้จริง
ผู้เชี่ยวชาญจาก Veracode ให้ความเห็นว่าแนวโน้มการใช้แนวทางที่เรียกว่า “vibe coding” หรือการให้ AI เขียนโค้ดตามคำสั่ง (prompt) โดยที่นักพัฒนาไม่เข้าใจรายละเอียดของโค้ดที่ได้ อาจนำไปสู่การสะสมช่องโหว่ในระบบโดยไม่รู้ตัว โดยเฉพาะเมื่อโค้ดเหล่านี้ถูกนำไปใช้งานจริงใน production environment
Veracode แนะนำว่าองค์กรควรผสานแนวทาง secure software development lifecycle (SSDLC) เข้ากับ workflow ของ AI coding ตั้งแต่ต้นทาง ไม่ว่าจะเป็นการตั้งค่า prompt อย่างระมัดระวัง, การใช้ static analysis tools ตรวจสอบโค้ดทุกครั้ง, การให้มนุษย์ทบทวนโค้ดก่อนนำไปใช้งานจริง และการฝึกฝนนักพัฒนาให้สามารถประเมินความเสี่ยงจากโค้ดที่สร้างโดย AI ได้อย่างแม่นยำ
บทเรียนจากรายงานนี้ตอกย้ำว่าแม้ AI จะเป็นเครื่องมือทรงพลังในการเพิ่มประสิทธิภาพการพัฒนาซอฟต์แวร์ แต่ก็ไม่ควรถูกใช้โดยไม่มีมาตรการควบคุม โดยเฉพาะในยุคที่โค้ดสามารถกลายเป็นจุดอ่อนให้กับระบบขนาดใหญ่ได้เพียงเพราะฟังก์ชันไม่กี่บรรทัดที่ถูกเขียนโดย AI และไม่ได้ผ่านการตรวจสอบจากผู้เชี่ยวชาญด้านความปลอดภัยอย่างเพียงพอ