כלי פיתוח מבוססי AI יכולים לעשות הרבה נזק ולכן כשאנחנו מפעילים אותם בענן אנחנו יכולים קצת לצמצם את הסיכון - בענן יש לנו שליטה טובה יותר במכונת הפיתוח ואנחנו יכולים להחליט מה הסוכן יוכל או לא יוכל לעשות. הנה כמה דברים שכדאי לשים לב כשאתם נעזרים בקופיילוט בענן:

1. כל אתר חיצוני שהסוכן קורא יכול להכיל פרומפטים זדוניים. ברירת המחדל של גיטהאב היא לשים חומת אש יוצאת שמונעת מהסוכן לצאת מהמכונה. כדאי לחשוב טוב טוב לפני שמבטלים או מחלישים את חומת האש הזו.

2. גם בלי הוראות זדוניות מבחוץ קשה לדעת איך AI יתנהג, לכן מאוד מומלץ לא לשים מפתחות גישה במכונה עליה קופיילוט רץ. אם ממש חייבים נשים לב לבחור מפתחות עם הרשאות נמוכות במיוחד ולהחליף מפתחות לעתים קרובות.

3. עדיף לא לתת ל AI להוסיף חבילות למערכת. גם יותר טוב מבחינת חומת האש שלא יתקין שום דבר וגם אף פעם אנחנו לא יודעים אם הוא לא מתקין משהו זדוני בטעות. בהנחיות הכלליות של קופיילוט בענן בקובץ .github/copilot-instructions.md אני אכתוב משהו כמו:

Do not install additional packages from npm. Implement all required functionality with the existing packages or using vanilla JavaScript.

1. לאחרונה אני מנסה לא למזג PR-ים ש AI יוצר אלא רק לקחת את השורות או הקבצים שאני צריך ידנית. זה מאט את התהליך אבל מכריח אותי לקרוא ולאשר כל שורת קוד מה שמצמצם משמעותית את בעיות האבטחה.

2. קשה לקרוא Session Log של AI ולאחרונה גיטהאב עשו את זה יותר קשה והוסיפו עוד שתי לחיצות כדי להגיע לפלט המלא. ועדיין הפלט הזה יכול לחשוף שני סוגים של מידע חשוב - הראשון הוא כשהמודל עושה שטויות ושובר דברים והשני כשהמודל לא מבין עקרונות בסיסיים באיך המערכת בנויה ולכן הקוד שהוא כותב עלול להפר הנחות יסוד ולסכן את המערכת.

ומה אתכם? איך אתם נזהרים שלא ייכנס קוד זדוני למערכת כשעובדים עם AI?