Se os programadores mentissem com tanta frequência como o ChatGPT, seriam imediatamente despedidos. Surpreendentemente, alguns executivos de empresas parecem não se importar com isso – desde que a IA continue a codificar rapidamente e por tão pouco dinheiro.
Por Evan Schuman
Se os programadores mentissem com tanta frequência como o ChatGPT, seriam imediatamente despedidos. Surpreendentemente, alguns executivos de empresas parecem não se importar com isso – desde que a IA continue a codificar rapidamente e por tão pouco dinheiro.
Enquanto o debate se intensifica sobre o quanto os administradores de TI e CISO devem usar IA generativa – especialmente para codificação – o CISO da SailPoint, Rex Booth, vê uma ampla gama de obstáculos antes que as empresas possam ver quaisquer benefícios, especialmente devido ao histórico menos do que estelar do setor de tomar as decisões de segurança certas.
A Google já decidiu utilizar publicamente a IA generativa nas suas pesquisas, uma medida que está a assustar um vasto leque de especialistas em IA, incluindo um gestor sénior de IA da própria Google.
Embora alguns tenham defendido que as eficiências extremas que a IA generativa promete poderiam financiar segurança adicional (e verificações de funcionalidade no backend), Booth diz que a história da indústria diz o contrário.
“Propor que todas as empresas utilizem as poupanças para corrigir as falhas na fase final é uma loucura”, disse Booth numa entrevista. “Há décadas que o mercado não oferece qualquer incentivo para que isso aconteça – porque é que havemos de pensar que a indústria vai começar subitamente a privilegiar a qualidade em detrimento do lucro? Toda a indústria cibernética existe porque fizemos um péssimo trabalho na construção da segurança. Estamos finalmente a conseguir que a comunidade de programadores considere a segurança como um componente funcional essencial. Não podemos deixar que o fascínio da eficiência nos distraia de melhorar a base do ecossistema.
“Utilizem a IA, mas não abdiquem da responsabilidade pela qualidade de cada linha de código que utilizam”, afirmou. “A proposta de, ‘Hei, o resultado pode ser defeituoso, mas está a receber por um preço de barganha’ é ridícula. Não precisamos de um volume maior de software de baixa qualidade e inseguro. Precisamos de software de maior qualidade.
“Se a comunidade de programadores vai utilizar a IA como uma eficiência, ótimo para eles. Eu de certeza que o faria quando estava a escrever código. Mas tem de ser feito de forma inteligente”.
Uma opção que tem sido falada seria a de ver os programadores juniores, que podem ser substituídos de forma mais eficiente pela IA do que os programadores experientes, serem requalificados como especialistas em cibersegurança, que poderiam não só resolver problemas de codificação gerados pela IA, mas também lidar com outras tarefas de segurança. Em teoria, isso poderia ajudar a resolver a escassez de talentos no domínio da cibersegurança.
Mas Booth vê a IA generativa a ter o impacto oposto. Preocupa-se com o fato de que “a IA pode realmente levar a um boom na contratação de segurança para limpar o back-end, exacerbando ainda mais a escassez de mão-de-obra que já temos”.
Oh, IA generativa, quer o seu nome seja ChatGPT, BingChat, Google Bard ou qualquer outro, não há fim para as formas como a sua utilização pode piorar os pesadelos de TI?
O argumento de Booth sobre a escassez de talentos em cibersegurança faz sentido. Existe, mais ou menos, um número finito de pessoas com formação em cibersegurança disponíveis para contratação. Se as empresas tentarem combater essa escassez pagando-lhes mais dinheiro – um cenário improvável mas possível – isso irá melhorar a situação da segurança numa empresa à custa de outra. “Estamos constantemente a trocar pessoas de um lado para o outro”, afirmou Booth.
O resultado mais provável a curto prazo da utilização crescente de modelos linguísticos de grande dimensão é o facto de ter um impacto muito maior nos programadores do que nos profissionais de segurança. “Tenho a certeza de que o ChatGPT levará a uma diminuição acentuada do número de posições de programador de nível básico”, disse Booth. “Em vez disso, permitirá que um espetro mais amplo de pessoas entre no processo de desenvolvimento”.
Esta é uma referência ao potencial de executivos e gestores de linha de negócios (LOB) para usar IA generativa para codificar diretamente, eliminando a necessidade de um codificador para atuar como intermediário. A questão fundamental: É uma coisa boa ou má?
O argumento da “coisa boa” é que isso economizará dinheiro para as empresas e permitirá que os LOB codifiquem as aplicações mais rapidamente. Isso é certamente verdade. O argumento “mau” é que não só as pessoas LOB sabem menos sobre segurança do que até o programador mais júnior, como a sua principal preocupação é a velocidade. Será que essas pessoas do LOB se vão dar ao trabalho de fazer verificações e reparações de segurança? (Todos sabemos a resposta a esta pergunta, mas sou obrigado a perguntar).
O ponto de vista de Booth: se os executivos da C-suite permitirem o desenvolvimento através de IA generativa sem limitações, surgirão problemas que vão muito para além da cibersegurança.
Os LOB “dar-se-ão conta de que, através das maravilhas da IA, têm poderes para contornar completamente o processo normal de desenvolvimento”, afirmou. “A política da empresa não deve permitir isso. Os programadores são formados no domínio. Eles sabem a maneira correta de fazer as coisas no processo de desenvolvimento. Conhecem a implantação correta, incluindo a integração com o resto da empresa. Isto vai muito para além de “Hei, eu consigo juntar algum código”. Só porque podemos fazê-lo mais rapidamente, isso não significa que todas as apostas estão canceladas e que, de repente, é o oeste selvagem.”
Na verdade, para muitos CISO e gestores de empresas, é exatamente isso que significa.
Isto obriga-nos a voltar à questão sensível da IA generativa que se esforça por mentir, que é a pior realização das alucinações da IA. Há quem diga que isto não é novidade e que os programadores humanos cometem erros deste género há gerações. Eu discordo totalmente.
Não estamos a falar de erros aqui e ali ou de o sistema de IA não saber um facto. Estamos a pensar no que fazem os programadores. Sim, mesmo os melhores programadores cometem erros de vez em quando e outros são desleixados e cometem muito mais erros. Mas o que é típico de um programador humano é introduzir 10.000 quando o número devia ser 100.000. Ou não fecha uma instrução. Estas coisas são más, mas não há má intenção. É apenas um erro.
Para tornar esses percalços equivalentes ao que a IA generativa está a fazer atualmente, um programador teria de inventar completamente novas instruções e alterar as instruções existentes para algo ridículo. Isso não é um erro ou descuido, é uma mentira intencional. Pior ainda, sem qualquer razão discernível para além de mentir. Isso seria absolutamente uma infração passível de despedimento, a não ser que o programador tenha uma explicação incrivelmente boa.
E se o chefe do programador reconhecesse esta mentira e dissesse: “Sim, o programador mentiu claramente. Não faço ideia porque é que o fizeram e admitem o erro, mas não dizem que não o voltarão a fazer. De facto, a minha avaliação é que o farão de certeza repetidamente. E enquanto não conseguirmos perceber por que razão o estão a fazer, não os podemos impedir. E, mais uma vez, não temos nenhuma pista sobre a razão pela qual o estão a fazer e não temos nenhuma razão para que o venhamos a descobrir tão cedo”.
Há alguma dúvida de que despedia esse programador (e talvez também o diretor)? E, no entanto, é precisamente isso que a IA generativa está a fazer. Surpreendentemente, os executivos de topo das empresas parecem não se importar com isso, desde que as ferramentas de IA continuem a codificar de forma rápida e eficiente.
Não é apenas uma questão de confiar no seu código, mas de confiar no seu programador. E se eu vos dissesse que uma das citações desta coluna é algo que inventei completamente? (Nenhuma foi, mas acompanhe-me.) Conseguiria dizer qual é a citação que não é verdadeira? A verificação pontual não ajudaria; os primeiros 10 comentários podem ser perfeitos, mas o seguinte pode não ser.
Pense nisto por um momento e depois diga-me até que ponto pode realmente confiar no código gerado pelo ChatGPT.
A única maneira de saber que as citações neste texto são legítimas é confiar no autor da citação, o colunista – eu. Se não puder, como é que pode confiar nas palavras? A IA generativa tem demonstrado repetidamente que fabrica coisas sem qualquer motivo. Considerem isso quando estiverem a tomar as vossas decisões estratégicas.