AcasăEuropaeu-LISA avertizează că inteligența artificială poate accelera dezvoltarea software, dar poate introduce...


eu-LISA avertizează că inteligența artificială poate accelera dezvoltarea software, dar poate introduce mai multe erori și vulnerabilități

A close-up view of a smartphone showing an error message against a vibrant red background, symbolizing tech issues.
Raportul eu-LISA spune că organizațiile nu mai trebuie să decidă doar dacă folosesc AI în dezvoltarea software, ci cum o folosesc fără să crească riscurile de securitate și calitate.

Inteligența artificială generativă schimbă rapid modul în care este scris software-ul, dar organizațiile care o folosesc trebuie să cântărească atent câștigurile de productivitate față de riscurile de calitate, securitate și control al datelor, arată un raport publicat de eu-LISA, agenția Uniunii Europene care gestionează sisteme IT de mari dimensiuni în spațiul de libertate, securitate și justiție.


Pe scurt

  1. eu-LISA spune că asistenții de programare bazați pe AI sunt deja o practică standard în organizațiile care dezvoltă software.

  2. Raportul arată că aceste instrumente pot ajuta la scrierea de cod, testare, documentare, refactorizare, analiză de cerințe și monitorizare.

  3. Studiile citate de eu-LISA indică rezultate mixte privind productivitatea, cu beneficii mai clare în sarcini standardizate și rezultate mai slabe în probleme complexe.

  4. Codul generat cu AI poate conține mai multe probleme de securitate, inclusiv injecții de comenzi, secrete hardcodate, pachete inexistente și dependențe vulnerabile.

  5. eu-LISA recomandă monitorizare continuă, evaluări regulate, guvernanță clară, revizuire umană și suficiente resurse pentru verificarea codului generat cu AI.


Raportul „Generative AI in Software Development” pornește de la schimbarea rapidă produsă după lansarea ChatGPT în 2022. eu-LISA notează că, în februarie 2026, numărul utilizatorilor activi săptămânal ai ChatGPT era estimat la aproximativ 900 de milioane. Modelele lingvistice mari au fost preluate rapid în activități de cunoaștere, inclusiv în dezvoltarea software, unde pot transforma instrucțiuni în cod, pot explica programe existente și pot susține sarcini repetitive.

Pentru eu-LISA, subiectul are relevanță directă deoarece dezvoltarea software este una dintre activitățile de bază ale agenției. În contextul în care agenția își consolidează capacitățile software, inclusiv printr-o abordare de tip software factory, raportul urmărește ce pot face instrumentele AI, ce limite au și ce riscuri aduc pentru organizații care dezvoltă și operează sisteme IT complexe.

Instrumentele analizate nu se limitează la completarea automată a unor linii de cod. Raportul arată evoluția de la sisteme de autocomplete, precum IntelliSense, la asistenți conversaționali integrați în mediile de programare și apoi la agenți autonomi capabili să execute sarcini în mai mulți pași. Această evoluție a dus la apariția practicilor de tip „vibe coding”, în care utilizatorul descrie în limbaj natural ce vrea să construiască, iar sistemul generează codul.

eu-LISA clasifică instrumentele disponibile în trei mari categorii. Prima include asistenți integrați în mediile de dezvoltare existente, precum GitHub Copilot, Amazon Q Developer, Tabnine sau JetBrains AI Assistant. A doua include editoare construite în jurul AI, cum este Cursor. A treia include agenți autonomi de dezvoltare software, precum Devin AI, Claude Code, OpenAI Codex CLI, GitHub Copilot agent mode sau OpenHands.

Utilizările posibile acoperă aproape întregul ciclu de viață al dezvoltării software. În faza de cerințe, AI poate transcrie și rezuma întâlniri, extrage cerințe funcționale și nefuncționale, genera user stories și criterii de acceptare. În arhitectură, poate propune structuri inițiale, specificații API și recomandări de securitate. În implementare, poate genera cod, moderniza cod vechi sau traduce cod dintr-un limbaj în altul. În testare, poate produce teste și date sintetice. În mentenanță, poate sprijini monitorizarea, identificarea anomaliilor, analiza cauzelor și propunerea unor remedieri.

Adoptarea este deja foarte largă. Raportul citează studii potrivit cărora 85% dintre respondenți folosesc asistenți AI pentru a scrie cod nou, 73% pentru refactorizarea codului existent, aproximativ 60% pentru testare și documentare, iar tot mai mulți dezvoltatori îi folosesc pentru revizuirea codului. În concluzii, eu-LISA spune că, potrivit datelor din sondaje, în 2025 cel puțin 85% dintre dezvoltatori foloseau astfel de instrumente în mod regulat.

Această adopție nu înseamnă că impactul este uniform pozitiv. Raportul arată că rezultatele privind productivitatea sunt amestecate. Unele studii pe sarcini sintetice arată creșteri de viteză, dar studii mai apropiate de munca reală a dezvoltatorilor indică efecte mai nuanțate. eu-LISA menționează inclusiv un studiu în care folosirea asistenților AI a făcut munca dezvoltatorilor mai puțin eficientă cu aproximativ 19%, iar o reproducere anecdotică a indicat o scădere de aproximativ 21% pentru un programator experimentat.

Un motiv este că un cod generat aproape corect poate consuma mult timp la verificare și depanare. Dezvoltatorii trebuie să înțeleagă sugestia, să o compare cu cerințele reale, să verifice dacă se potrivește arhitecturii existente și să repare erorile ascunse. Dacă sugestia este lungă, dezvoltatorul poate pierde ritmul de lucru pentru a o analiza și apoi o poate respinge.

Raportul subliniază și diferența dintre sarcini simple și sarcini complexe. Câștigurile de productivitate sunt mai probabile în activități standardizate, repetitive sau bine definite. În probleme complexe, unde este nevoie de înțelegerea profundă a sistemului, a contextului organizațional și a consecințelor arhitecturale, avantajele sunt mai puțin clare.

Calitatea codului este una dintre principalele preocupări. eu-LISA citează un studiu amplu care compară codul scris de oameni cu cel generat de AI. Codul generat de AI este descris ca mai puțin complex structural, dar mai repetitiv și predispus la un set specific de defecte, precum erori de atribuire a variabilelor. Codul uman tinde să conțină mai multe probleme algoritmice și gestionare nepotrivită a excepțiilor.

Raportul arată că rezultatele diferă și între limbaje de programare. AI pare să genereze cod Python de calitate mai bună, în timp ce calitatea codului Java este semnificativ mai slabă în studiul citat. O altă analiză menționată de eu-LISA sugerează că software-ul scris cu sprijin AI conține de aproximativ 1,7 ori mai multe probleme decât codul scris de dezvoltatori umani, cu mai multe probleme critice sau majore, mai multe erori logice și de corectitudine, de 1,5 ori mai multe probleme de securitate și mai multe inconsistențe de denumire.

Securitatea ocupă o parte importantă a raportului. eu-LISA împarte riscurile în trei straturi: output, adică riscurile din codul generat; input sau date, adică riscurile create când codul și datele interne sunt trimise către instrumente AI; și agent, adică noile suprafețe de atac create de agenții autonomi care pot lucra cu fișiere, shell, browser și instrumente externe.

La nivelul codului generat, riscurile includ vulnerabilități clasice, folosirea unor biblioteci nesigure, lipsa sanitizării inputurilor, hardcoded secrets, injecții de comenzi și pachete software inventate de model. Problema pachetelor inexistente este importantă: dacă un model inventează o bibliotecă, iar dezvoltatorii o includ în proiect, actori rău intenționați pot publica ulterior un pachet cu acel nume și îl pot folosi pentru atacuri.

Un studiu din 2021 citat de eu-LISA a constatat că aproximativ 40% dintre completările de cod sugerate de GitHub Copilot conțineau vulnerabilități. Un studiu mai recent, prezentat la o conferință în 2025, a identificat 4.241 de instanțe CWE în 77 de tipuri de vulnerabilități în cod generat cu AI din depozite publice GitHub, deși 87,9% din codul analizat nu conținea vulnerabilități CWE identificabile.

Raportul atrage atenția și asupra încrederii excesive în rezultatele AI. În experimente de securitate, participanții care au avut acces la un asistent AI au fost mai predispuși să scrie soluții incorecte și nesigure decât un grup de control fără AI. Asistenții au folosit uneori biblioteci nesigure, au interacționat greșit cu sisteme de fișiere sau baze de date și nu au sanitizat corect inputurile utilizatorilor.

La nivelul datelor introduse în modele, riscul principal este confidențialitatea codului sursă și a informațiilor interne. Dezvoltatorii pot trimite fragmente de cod către instrumente cloud sau pot oferi asistentului acces la întregul depozit pentru context. eu-LISA spune că riscul depinde de condițiile de utilizare, de politicile privind păstrarea datelor, de folosirea datelor pentru antrenare și de telemetria colectată pentru monitorizare, depanare sau îmbunătățirea serviciului.

La nivelul agenților autonomi, riscul crește deoarece aceste sisteme au acces la fișiere, execuție de comenzi, navigare web și instrumente externe. Raportul menționează prompt injection indirect ca risc important. Un agent poate întâlni instrucțiuni ostile ascunse în pagini web, documente sau surse externe și le poate executa dacă nu există controale suficiente.

Un risc suplimentar vine din Model Context Protocol, MCP, folosit pentru a conecta asistenții AI la instrumente externe. eu-LISA avertizează că integrarea LLM-urilor cu sisteme enterprise prin servere MCP poate elimina granițe tradiționale de securitate bazate pe izolarea sistemelor. Un server MCP compromis poate afecta mai multe sisteme, prin atacuri de lanț de aprovizionare, erori de autentificare sau autorizare, tool poisoning și manipularea agentului.

Raportul nu respinge folosirea AI în dezvoltarea software. El propune măsuri de reducere a riscurilor. Pentru codul generat, eu-LISA recomandă revizuire obligatorie, instrumente de analiză statică, instrumente de calitate precum SonarQube, verificări de compoziție software pentru dependențe vulnerabile sau inexistente și controale specifice pentru erorile frecvente ale AI, precum secrete hardcodate.

Pentru protecția datelor, raportul recomandă verificarea clară a condițiilor de utilizare, evitarea folosirii telemetriei sau logurilor pentru antrenarea modelelor, respectarea GDPR, soluții cu rezidență a datelor în UE sau cloud suveran, self-hosting unde este necesar și scanare pentru secrete, de exemplu cu TruffleHog sau GitHub secret scanning.

Pentru agenții autonomi, eu-LISA indică medii sandboxed, infrastructură locală pentru organizațiile cu cerințe ridicate de securitate, controale de acces, monitorizare, întărirea serverelor MCP, verificarea dependențelor și bariere pentru manipularea modelului prin inputuri malițioase. Măsurile organizaționale rămân importante: politici de utilizare AI, guvernanță, audituri periodice, instruirea dezvoltatorilor, containerizare, sisteme de permisiuni și audit logging.

Raportul discută și efecte organizaționale. Dacă AI crește volumul de cod, pull request-uri și commit-uri, echipele de revizuire, mentenanță și securitate pot primi mai multă muncă. O echipă care generează rapid un cod inițial poate părea eficientă, dar costurile pot fi transferate către echipele care trebuie să repare, securizeze și mențină codul ulterior.

O altă preocupare este pierderea traseului de formare pentru dezvoltatorii juniori. Dacă sarcinile de bază sunt preluate de AI, juniorii pot avea mai puține ocazii să învețe prin lucru direct cu codul. În același timp, dezvoltatorii seniori pot ajunge să petreacă mai mult timp revizuind cod produs de AI, ceea ce poate reduce satisfacția profesională și poate crea riscuri de deskilling pe termen lung.

Raportul menționează și un efect pozitiv: democratizarea experimentării. Experții de domeniu care nu sunt programatori pot construi prototipuri sau instrumente interne necritice în medii sandboxed, fără costuri mari. Acest lucru poate reduce presiunea pe echipele software în fazele timpurii ale unui proiect, dar poate crește ulterior cererea pentru mentenanță și depanare a software-ului generat cu AI.

eu-LISA atrage atenția și asupra concentrării furnizorilor. Multe instrumente depind de modele de bază dezvoltate de câțiva actori mari, precum Anthropic, Google și OpenAI. Această concentrare poate crea riscuri legate de întreruperi de model, schimbări de prețuri, retragerea unor modele sau evenimente geopolitice.

Concluzia raportului este că întrebarea pentru organizații nu mai este dacă vor adopta asistenți AI de programare, ci cum îi vor adopta. Productivitatea poate crește, dar nu în toate sarcinile și nu fără costuri. Codul generat cu AI trebuie verificat, securizat și integrat într-un cadru de guvernanță. Pentru sistemele complexe, folosirea AI fără controale poate muta problema din zona dezvoltării rapide în zona vulnerabilităților, mentenanței și riscurilor operaționale.


























RELATED ARTICLES