Применение ai ассистентов на работе?

Возник вопрос безопасности использования ai ассистентов, например сервиса codeium.

Насколько безопасно пользоваться такими инструментами при разработке софта? Какие меры предосторожности есть? Анализируют ли подобные инструменты код проекта, могут ли "стянуть" креды которые описаны в local.env к примеру. Ну и в общем интересуют мысли комрадов на тему кодогенерации.

Дополнительно:

Насколько безопасно пользоваться такими инструментами при разработке софта?

На 42.

Какие меры предосторожности есть?

Шапочка из фольги.

Анализируют ли подобные инструменты код проекта

А зачем бы они тогда были нужны, если бы не анализировали? При этом какие-то могут и не анализировать для упрощения собственной жизни или из-за внешних ограничений. Сейчас столько их развелось, что наверняка сказать нельзя. Про каждый инструмент написано на его сайте.

могут ли "стянуть" креды которые описаны в local.env к примеру

Могут. Но заниматься этим специально никто не будет из крупных специализированных компаний. Вдобавок, в local.env у вас и не должно быть каких-то реальных продовых токенов.

Ну и в общем интересуют мысли комрадов на тему кодогенерации.

Камрад пишется через "а".
AI-ассистентов нужно выдавать только опытным разработчикам, потому что они не пишут код, а уменьшают рутину. Их нельзя использовать, если вы не можете написать то же самое самостоятельно - помимо галлюцинаций там могут быть просто ошибки и разработчик должен быть способен распознать и то, и другое.
Судя по ответам тех, кто решает нафармить себе зачем-то рейтинга здесь, перезадавая вопросы ChatGPT, а так же по вопросам тех, кто не поленился, прежде чем придти сюда, сходить в тот же ChatGPT - это редкий навык.

• Спасибо за ответ, жаль что от твоего сообщения воняет токсичностью за милю. Отвечать коротко и по факту уже не получается?

  Как минимум ai это хороший инструмент для анализа кода, и посмотреть варианты как писать код - полезно для джуна, таким же методом работает тот же самый codewars или литкод, который показывает варианты решений одной и той же задачи. Понятное дело что для анализа качества кода ai, нужно иметь экспертизу. Но тут ты уже шапочку из фольги надел видимо, так как выдать фразу про то что инструментом могут пользоваться только опытные специалисты, это тоже самое что написать "водить машину могут только опытные водители, остальные пусть идут пешком".

• Варианты решений, написанные другими опытными (или даже не очень опытными) разработчиками - это совершенно не то же самое, что результат работы бездумного генератора текста. Просто потому, что разработчик проанализировал задачу и свой вариант решения проверил на корректность.

  Ещё раз: у меня перед глазами сотни примеров прямо отсюда (но и не только отсюда) за последний год, когда люди без опыта пытались использовать генераторы текста - ничем хорошим это не заканчивается. Вот свежайший пример. И если новички будут этим пренебрегать, у них просто не выработаются нужные навыки.

  на дороге могут находиться только опытные водители

  Отличный пример, спасибо! На дороге, действительно, уже сейчас могут находиться только те, кто доказал, что их можно туда пускать. А тех, кто водить не умеет, выпускают только под бдительным присмотром и с дополнительной педалью тормоза.

  Отвечать коротко и по факту уже не получается?

  Отвечать "коротко и по факту" можно на вопросы, которые такой ответ подразумевают. Вопрос "в общем интересуют мысли" не из их числа.

  воняет токсичностью

  Сорян, это аллергическая реакция на дурацкие вопросы.

• Ну надо спокойно к ним относится, так как я спросил мнение коллег по цеху, ты можешь просто написать - "не парься, и забей". И я лайкну твой ответ и закрою пост. Пост не глупый, скорее обыденный и не сложный. И в нем не было вопроса - стоит ли допускать до руля джунов, они все равно будут писать все с помощью чата, фоном, и ты никуда от этого не денешься. Сам пост про информационную безопасность и защиту данных - насколько стоит заморачиваться, или же забить и жить дальше. За твой расширенный ответ - спасибо

• Пост не глупый, скорее обыденный и не сложный.

  Я и не говорил, что он глупый. Он по-дурацки сформулированный, а мы тут боремся за нормальные формулировки. Ну и ещё - это сервис вопросов и ответов, а не форум, поэтому тут нет постов, но есть вопросы.

  в нем не было вопроса - стоит ли допускать до руля джунов

  Зато было написано "и в общем интересуют мысли". Вот этот как раз и были "мысли в общем".

  Сам пост про информационную безопасность и защиту данных - насколько стоит заморачиваться, или же забить и жить дальше.

  Вот если бы так и было написано (а в заголовке вопроса был бы корректно сформулированный вопрос, а не предложение с вопросительным знаком на конце), то и мой ответ был бы совсем другим.

  Вы новичок, ведёте себя адекватно - поэтому я вопрос не удалил сразу, а только саркастично подчеркнул на будущее, что в нём не так. Но и по существу (там, где это применимо) постарался ответить тоже.

• Алексей Уколов, ой, да остынь.
  меня тут убил как-то ответ, походу из того же чатгпт, где в коде переменные были на русском.
  и "автора" ответа это совсем не смутило.

  сразу вспомнился мохнатый анекдот про программистов 1с

• DevMan, на меня сегодня с утра надушнили, мне надо продолжить цепочку ультра-насилия.
• Алексей Уколов, ну оторвись на мне
• Алексей Уколов, если встретились два программиста 1с
  конец если.

  отпустило?

• jimmyCim, по факту - это просто помощник.
  без достаточной квалификации ты просто не поймёшь оно помогло или наоборот натупило.
• DevMan, у меня иллюзий по поводу чата, и на тему того насколько бесполезный и отвратительный код он может писать)
• jimmyCim, тема кодогенерации очень стара.
  ещё до всяких аі.

  раздели свой вопрос на две отдельные части:
  1. безопасность кредов. это легко.
  2. кодогенерации. это сложно.

  я сам по себе знатный кодогенератор. и в отличие от кода ИИ, точно знаю что и как он делает.
  классная задумка. реально. сам иногда пользуюсь.
  но совсем не для новичков.

  в целом - думаю скоро собеседования обретут совсем другой вид.

разумное сомнение - критерий истины.

если ссышь, дай в .env локальные креды, а в проде давай реальные отдельно.
кагбе дев и деплой - немного много разное.

• Спасибо за ответ.
• Что значит "если" ссышь? Всегда так надо делать!
• Сергей П, нуда!
• Сергей П, прост уровень разный.
  для пет - похрену
  для бизнеса - всегда

Анализируют ли подобные инструменты код проекта, могут ли "стянуть" креды которые описаны в local.env к примеру. Ну и в общем интересуют мысли комрадов на тему кодогенерации.

На все вопросы ответ - да, могут.
А ещё они могут использовать сторонние API (тот же openai), которые хранят и могут передавать третьим лицам любые запросы.

По тому в крупных компаниях часто запрещают использование таких сервисов, либо как минимум ставят прокси, который все чувствительные данные маскирует (хотябы токены и ПД).

Как метод предосторожности - воспринимай любые данные, которые попадают в любой обычный ИИ как скомпрометированные.

Подобную задачу решаю успешно в своей компании установкой локально соответствующих LLM (через docker tgi, vllm). Также написал extention для основных IDE (vscode, jetbrains), которые могут использовать как локальные .gguf-модели, так и работать с локально поднятыми через API.
Ваша задача приватности решается при этом абсолютно.