KI-Assistent GitHub Copilot: Neues Modell und sicherere Codevorschläge

GitHub Copilot bekommt einen neuen Unterbau und einen zusätzlichen Filter, der Schwachstellen wie hartkodierte Credentials blockieren soll.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen

(Bild: sdecoret/Shutterstock.com)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Die Betreiber der Codeverwaltungsplattform GitHub haben ihren KI-Assistenten Copilot erweitert. Die Programmierhilfe erhält ein neues KI-Modell als Basis und zusätzliche Funktionen. Ein Filter soll zudem verhindern, dass Copilot Code mit Schwachstellen vorschlägt. Außerdem ist Copilot for Business nun auch für Unternehmen verfügbar, die nicht die GitHub-Plattform zum Verwalten ihres Codes nutzen.

Auf technischer Seite hat Copilot einen erneuerten Unterbau. Der Assistent basiert seit seiner ersten Vorstellung im Juni 2021 auf dem KI-Modell Codex von OpenAI, dem Unternehmen hinter GPT-3, ChatGPT und DALL·E. Codex ist darauf ausgelegt, natürliche Sprache in Code zu überführen. Unter anderem reicht ein Kommentar, um eine vollständige, passende Funktion zu erzeugen.

Welche Verbesserungen das neue Modell mitbringen soll, erklärt der Blogbeitrag zur Ankündigung der Neuerungen rund um Copilot nicht. Inwiefern es also Änderungen beim Code für die Trainingsgrundlage gibt, erweiterte Filterfunktionen bei der Auswahl oder wie OpenAI das Feedback aus dem bisherigen Einsatz von Codex beziehungsweise Copilot in das Modell überführt hat, bleibt daher unklar.

Neben dem Modell hat GitHub die Copilot-Extension für Visual Studio Code erweitert, die neuerdings den lokalen Kontext nutzt. Unter anderem bezieht sie mit ein, ob der Entwickler oder die Entwicklerin einen vorherigen Vorschlag akzeptiert oder abgelehnt hat. Das soll vor allem die Rate der unerwünschten Vorschläge verringern und damit die allgemeine Akzeptanz für das System verbessern.

Unter dem Schlagwort Fill-In-the Middle (FIM) erweitert Copilot die Möglichkeiten zum Ergänzen von Codepassagen. Dabei betrachtet das KI-System den voranstehenden und den abschließenden Code, um eine passende Ergänzung für die Mitte dazwischen zu finden. OpenAI hatte im Juli 2022 ein Paper zu FIM-Techniken für Sprachmodelle veröffentlicht.

Neu ist zudem ein KI-basierter Filter, der Schwachstellen und unsichere Codepassagen blockieren soll. Damit dürfte GitHub auch auf immer wieder aufkommende Vorwürfe reagieren, dass KI-Assistenten Schwachstellen im Code eher fördern als verhindern. Im August 2022 hatten zwei Professoren auf der Sicherheitskonferenz Black Hat ihre Untersuchung vorgestellt, die zu dem Schluss kam, dass Copilot nicht selten Schwachstellen für seine Codevorschläge übernimmt. Im November 2022 hatten Informatiker von der Stanford University eine Studie veröffentlicht, laut der Codeassistenten zu unsicherem Code verleiten. Auch wenn die Studien nicht repräsentativ sind, hängt dem KI-Assistenten der Verdacht an, unsicheren Code vorzuschlagen.

Der neue Filter soll die verbreitetsten Schwachstellen wie SQL Injections oder im Sourcecode hartkodierte Credentials wie Passwörter erkennen und blockieren. Dabei soll er unsicher Patterns auch in unvollständigen Codepassagen erkennen und durch alternative Vorschläge ersetzen.

Der Filter erkennt und editiert unter anderem hartcodierte API-SchlĂĽssel.

(Bild: GitHub)

GitHub hat die E-Mail-Adresse copilot-safety@github.com eingerichtet, unter der das Unternehmen Hinweise zu unsicheren Patterns im Code sammelt, um den Filter weiter auszubauen.

GitHub hatte Copilot im Juni 2021 als technische Preview gestartet. Nach einer einjährigen Test- und Betaphase hat das Unternehmen im Juni 2022 Copilot offiziell freigegeben und bietet die Nutzung des Systems seitdem für 10 US-Dollar monatlich an. Seit Dezember gibt es zusätzlich ein Angebot für Unternehmen, das mit 19 US-Dollar pro User fast doppelt so teuer ist und dafür zusätzliche Funktionen wie unternehmensweites Policy-Management und Datenschutz bietet.

Laut dem GitHub-Blog setzen derzeit gut 400 Organisationen auf GitHub Copilot. Neuerdings steht das System auch solchen Firmen offen, die nicht die Versionsverwaltungsplattform von GitHub fĂĽr ihren Sourcecode verwenden. Ebenfalls neu ist, dass GitHub Copilot nun mit VPNs zusammenarbeitet, auch mit selbstsignierten Zertifikaten.

Weitere Details lassen sich den Blogbeiträgen zu den technischen Neuerungen und zu den erweiterten Angeboten von GitHub for Business entnehmen. Nach wie vor steht Copilot in der Kritik, unerlaubt Code zu übernehmen und vorzuschlagen. Im November startete daher eine Sammelklage gegen Microsoft, GitHub und OpenAI.

(rme)