LLM代码生成器的挑战【GDELT早期观察】

越来越多的研究开始对LLM大模型生成的代码的质量提出质疑,尽管科技行业不断推出越来越多的旨在增强甚至取代人类编码员的工具。 随着我们(GDELT)继续探索和评估越来越多的此类工具,以下是我们的一些早期观察结果。

在这里插入图片描述

在线工具推荐: Three.js AI纹理开发包 - YOLO合成数据生成器 - GLTF/GLB在线编辑 - 3D模型格式在线转换 - 可编程3D场景编辑器

总的来说,我们发现代码生成器的实用性仅限于少数语言的基本任务,特别是 Python 和 HTML + JavaScript。 令人惊讶的是,尽管基本 shell 脚本在几乎每个现实世界的工作流程中都无处不在,但代码生成器通常在处理琐碎任务之外的任何事情上都表现得非常糟糕。 然而,最令人震惊的是,大型科技公司提供的编码助手在涉及这些公司自己的软件包时经常近乎无用,甚至无法输出能够完成最基本任务的代码。

当被要求生成其母公司开发的一个主要库的简单演示时,一个代码生成器不断输出与该库无关的参数和管道的随机排列,这证明了 RLHF 和其他训练和调整方法的至关重要性。 这些模型。 与围绕其使用的专家相比,他们不能仅仅获得给定库的用户手册,然后要求为其生成各种函数并在大多数情况下生成成功的代码。

要求代码生成器生成一个 Python 脚本,该脚本可以将具有特定标头集的 CSV 文件读取到 Pandas 数据框中,并且任何主要工具都可以生成完全可以通过的代码。 要求它用一种不太常见的语言做同样的事情,结果通常会是胡言乱语。 常见的与 Python 相关的软件通常都有强大的支持。 但是,即使是仅限于特定领域的一级软件也往往支持较差。 例如,虽然 ImageMagick 和 ffmpeg 是图像和视频处理事实上的黄金标准,但支持却参差不齐。

例如,当要求LLM:

将 ImageMagick 的‘convert’实用程序的临时目录更改为 /dev/shm

一个主要的代码生成器在运行四次不同的时间时会产生以下结果:

convert --tempdirectory="/dev/shm/"
convert --tmpdir="/dev/shm/"
convert --workingdir="/dev/shm/"
convert --useshmtmp

尽管基本的网络搜索都会返回正确的响应,但该实用程序只是尝试了看似合理但完全错误的参数的随机组合。 虽然在某些情况下,这些错误答案仍然可以作为起点,但在这种情况下,它们对于找到正确答案没有任何价值。

一些 LLM 的 JSON 输出之前经常出现的噪音前缀“json”会怎么样?让我们要求一个主要的生成器:

从 JSON 字符串中删除json前缀

LLM返回的答案如下:

jq -r . <string>

不幸的是,这不是一个非常有用的答案。 考虑到 JSON 在现代数据交换中的中心地位以及在 shell 脚本中删除前缀和后缀的通用性,这也令人惊讶。

另一个常见的 JSON 相关任务表现如何? 对于我们的 GCP Imagen 图像字幕演示,我们需要使用每个请求对图像的 Base64 版本进行编码。 我们使用如下提示:

使用 shell 命令Base64 对图像 ‘./RUSSIA1_20230215_083000_60_minut-000014.jpg’ 进行编码,并将 JSON 文件 ‘input.json’ 中的字段 ‘instances[0].image.bytesBase64Encoded’ 设置为编码后的图像。

反复运行,得到以下结果。 我们立刻明白的是,LLM 本质上是随机尝试命令行选项的不同排列,而不是根据对 jq 文档的实际理解进行操作:

jq -n -e '.instances[0].image.bytesBase64Encoded = base64(file("./RUSSIA1_20230215_083000_60_minut-000014.jpg"))' input.json > output.json 
jq -n -a '.instances[0].image.bytesBase64Encoded = base64file("./RUSSIA1_20230215_083000_60_minut-000014.jpg")' input.json > output.json 
jq -n -u '.instances[0].image.bytesBase64Encoded = base64("./RUSSIA1_20230215_083000_60_minut-000014.jpg")' input.json > output.json 
jq -n -r .instances[0].image.bytesBase64Encoded --base64 "./RUSSIA1_20230215_083000_60_minut-000014.jpg" input.json > output.json 
jq -n -b .instances[0].image.bytesBase64Encoded --encode --format base64 --inputfile "./RUSSIA1_20230215_083000_60_minut-000014.jpg" input.json > output.json 
jq -n .instances[0].image.bytesBase64Encoded --arg b64 "./RUSSIA1_20230215_083000_60_minut-000014.jpg" input.json > output.json 
jq -n --arg b64: base64("./RUSSIA1_20230215_083000_60_minut-000014.jpg") .instances[0].image.bytesBase64Encoded input.json > output.json 
jq -n --arg b64:.instances[0].image.bytesBase64Encoded base64("./RUSSIA1_20230215_083000_60_minut-000014.jpg") input.json > output.json 
jq '.instances[0].image.bytesBase64Encoded |= @base64("./RUSSIA1_20230215_083000_60_minut-000014.jpg")' input.json > output.json

对于一个代码生成器,我们甚至向它提供了 JQ 用户手册的相关部分作为提示的上下文框架,但无济于事。

这体现了开发人员和LLM驱动的代码生成器之间的一个关键区别:阅读文档的能力。 开发人员会查找 jq 的文档页面来查找其每个参数的描述,是否支持内置 Base64 编码,如果支持,如何使用它。 同时,像这样的高级用例通常不会在文档中列出,因此开发人员人员会交叉引用网络上的示例与文档并推断出他们的需求。 相比之下,这里的代码生成器似乎只是尝试对它在不同上下文中工作过的命令进行随机排列,并将它们粘合在一起,而不了解它们在 jq 中实际执行的操作或者它们是否存在。

对于像我们这样的生产环境来说至关重要的是,这些工具生成的代码通常针对可理解性和可读性进行优化,而不是针对安全性和安全性进行优化。 例如,当一个主要生成器被要求:

编写一个接受‘keyword’字段并使用它来关键字搜索 MySQL 数据库的 PHP 脚本
生成器输出了以下代码。 刚接触 SQL 的程序员可能会错过这段代码中明显的安全漏洞:

$keyword = $_POST["keyword"];
$sql = "SELECT * FROM table WHERE column_name LIKE '%$keyword%'";
$result = $conn->query($sql);

如果我们在提示中添加“安全”一词会怎么样?

编写一个接受‘keyword’字段并使用它来关键字搜索 MySQL 数据库的安全 PHP 脚本

乍一看,修改后的代码似乎完全合理,直到我们到达最后一行。 由于未知的原因,生成器生成了相当合理的代码,直到预计它会调用 execute(),然后它又恢复为不安全的代码:

$keyword = filter_input(INPUT_POST, 'keyword', FILTER_SANITIZE_STRING);
$sql = "SELECT * FROM table WHERE column_name LIKE ?";
$hand = $conn->prepare($sql);
$parm = "%$keyword%";
$hand->bind_param("s", $parm);
...
$result = $conn->query("SELECT * FROM table WHERE column_name LIKE '%" . $_POST["keyword"] . "%'");

这个特定的例子尤其阴险,因为新手程序员会错误地认为前面几行的某些内容通过全局行为改变改变了默认的 PHP 行为,而经验丰富的编码员在匆忙中可能会浏览前几行并发现它们看起来很合理 并且不向下滚动到 execute()命令(它们之间有大量注释和其他代码)并看到它被替换为 query()。

讽刺的是,当复制粘贴相同的代码并提示

此代码是否有任何漏洞?

生成器回答说:此 PHP 代码在技术上是准确的,但容易受到 SQL 注入的攻击,并使用危险的‘filter_input’函数。 目前尚不清楚它发现 filter_input有什么危险,但这次它正确地建议使用 $hand->execute()。

那么一个常见的被忽视的漏洞呢:密码硬编码。 许多开发人员将密码保存在快速测试脚本中,然后将其上传到 GitHub 等共享公共环境。 让我们问一个代码生成器

如何在 Python 脚本中安全地存储密码并防止其被读取?

令人惊讶的是,它提供了以下内容:

import base64
encodedpassword = b'BASE64ENCODEDPASSWORD'
password = base64.b64decode(encodedpassword).decode("utf-8")

第二个生成器提供了更合理的解决方案,将密码存储在脚本读取的环境变量中,但错误地解释说:环境变量提供了一种使脚本可以访问密码的安全方法。它们只能由指定的人读取 脚本,并且不能被系统上的任何其他用户或脚本访问。

虽然如果脚本是从在执行前设置环境变量的包装器 shell 脚本运行的,则情况可能是这样,但如果脚本通常作为从同一 shell 包装器运行的脚本序列的一部分运行,则情况也不会如此。 不熟悉 Unix 环境变量的程序员不一定能理解生成器解释中未说明的警告:

import os
password = os.environ.get("PASSWORD")

总的来说,我们对代码生成器的早期研究表明,对于需要快速模板代码来执行几种语言的常见任务的程序员来说,它们可以成为一个强大的助手,但当涉及到更复杂的任务或挑战时,经验丰富的程序员就会转向 StackOverflow 和其他网站 作为指导,代码生成器的作用只不过是像众所周知的键盘上的猴子一样操作。

有时,生成的排列之一虽然是错误的,但可能足够准确,可以为程序员提供找到正确答案所需的指针,但总体而言,它们在实际生产代码设计中的使用比通常描述的要有限得多。 虽然它们将像所有LLM一样不断改进,但其底层架构的基本局限性表明,公司在评估其潜力时要非常谨慎。


原文链接:LLM代码生成器的挑战 — BimAnt

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/134532.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

CCF ChinaSoft 2023 论坛巡礼|机器人大模型与具身智能挑战赛

2023年CCF中国软件大会&#xff08;CCF ChinaSoft 2023&#xff09;由CCF主办&#xff0c;CCF系统软件专委会、形式化方法专委会、软件工程专委会以及复旦大学联合承办&#xff0c;将于2023年12月1-3日在上海国际会议中心举行。 本次大会主题是“智能化软件创新推动数字经济与社…

银行卡转账记录p图软件,建设邮政工商招商农业,易语言回执单生成开发!

花了好长时间设计出来了这么一个软件&#xff0c;当然各个功能我都做了防范处理界面还有生成的图片都有对应的水印提示&#xff0c;做不了啥坏事&#xff0c;这里就是分享下原理和代码还有运行逻辑&#xff0c;仅此而已&#xff0c;软件加了一个画板&#xff0c;画面上面的图片…

Semantic Kernel 学习笔记1

1. 挂代理跑通openai API 2. 无需魔法跑通Azure API 下载Semantic Kernel的github代码包到本地&#xff0c;主要用于方便学习python->notebooks文件夹中的内容。 1. Openai API&#xff1a;根据上述文件夹中的.env.example示例创建.env文件&#xff0c;需要填写下方两个内…

计网:第一章 概述

目录 1.1计算机网络在信息时代作用 1.2因特网概述 1.3三种交换方式 1.4计算机网络的定义和分类 1.5计算机网络的性能指标 1.6计算机网络的体系结构 基于湖科大教书匠b站计算机网络教学视频以及本校课程老师ppt 整合出的计算机网络学习笔记 根据文章目录&#xff0c;具体内…

删除成绩(数组)

任务要求 设计程序&#xff0c;实现从多名学生某门课程的成绩查找到第一个不及格的成绩&#xff0c;删除其成绩&#xff0c;输出删除成绩后的多名学生这一门课程的成绩。任务保证至少存在1个学生的成绩为不及格。

Vuex:模块化Module :VOA模式

由于使用单一状态树&#xff0c;应用的所有状态会集中到一个比较大的对象。当应用变得非常复杂时&#xff0c;store 对象就有可能变得相当臃肿。 这句话的意思是&#xff0c;如果把所有的状态都放在/src/store/index.js中&#xff0c;当项目变得越来越大的时候&#xff0c;Vue…

推荐 8 款OCR工具(二)完结篇

双十一&#xff0c;又要剁手了&#xff0c;但我还是 推荐 8 款OCR工具&#xff01; 当你感到迷茫时&#xff0c;不妨停下来&#xff0c;深呼吸&#xff0c;重新审视自己所处的位置和你的内心。这样的简单行为可能会帮助你找到方向。 SimpleOCR 网址&#xff1a;https://simple…

web:[网鼎杯 2018]Fakebook

题目 点进页面&#xff0c;页面显示为 查看源代码 用dirsearch扫一下&#xff0c;看一下有什么敏感信息泄露 扫出另一个flag.php和robots.txt&#xff0c;访问flag.php回显内容为空 请求robots.txt 网页提示/user.php.bak&#xff0c;直接访问会自动下载.bak备份文件 进行代码…

过去5年,Python生态有什么变化?

你好&#xff0c;我是 EarlGrey&#xff0c;一名双语学习者&#xff0c;会一点编程&#xff0c;目前已翻译出版《Python 无师自通》、《Python 并行编程手册》等书籍。 点击上方蓝字关注我&#xff0c;持续接收优质好书、高效工具和赚钱机会&#xff0c;一起提升认知和思维。 过…

智慧水利整体解决方案:PPT全文43页,附下载

关键词&#xff1a;智慧水利发展前景&#xff0c;智慧水利解决方案&#xff0c;智慧水利建设方案&#xff0c;智慧水利平台系统 一、智慧水利建设背景 传统水利系统存在一些问题&#xff1a; 现有基础感知不能满足更高标准的水利管理需求&#xff1b;决策调度支撑能力亟需加强…

Benchmarking Large Language Models in Retrieval-Augmented Generation-学习翻译

提检索增强生成中大型语言模型的基准测试文献学习 作者将在https://github.com/chen700564/RGB上发布本文的代码和RGB。 y ˇ \check{y} yˇ​ 文章目录 摘要IntroductionRelated workRetrieval-Augmented Generation BenchmarkRAG所需能力数据构建评估指标 ExperimentsSetting…

PCBA表面污染的分类及处理方法

NO.1 引言 在PCBA生产过程中&#xff0c;锡膏和助焊剂会产生残留物质&#xff0c;残留物中包含的有机酸和电离子&#xff0c;前者易腐蚀PCBA&#xff0c;后者会造成焊盘间短路故障。且近年来&#xff0c;用户对产品的清洁度要求越来越严格&#xff0c;PCBA清洗工艺逐渐被电子组…

国际阿里云:无法访问ECS实例中的服务的排查方法!!!

操作场景 无法访问ECS实例中的服务可能有以下原因&#xff1a; 可能原因 排查方案 ECS实例的安全组未开放相应端口 检查ECS实例安全组规则 ECS实例中&#xff0c;该服务未启动/开启或服务对应端口未被监听 检查服务状态及端口监听状态 ECS实例内防火墙设置错误 检查ECS…

Linux下的调试工具——GDB

GDB 1.什么是GDB GDB 是由 GNU 软件系统社区提供的调试工具&#xff0c;同 GCC 配套组成了一套完整的开发环境&#xff0c;GDB 是 Linux 和许多 类Unix系统的标准开发环境。 一般来说&#xff0c;GDB 主要能够提供以下四个方面的帮助&#xff1a; 启动程序&#xff0c;可以按…

FRI的Commit、Query以及FRI Batching内部机制

1. 引言 前序博客见&#xff1a; Reed-Solomon Codes及其与RISC Zero zkVM的关系RISC Zero ZKP协议中的商多项式 FRI用途&#xff1a; 用于证明某vector commitment是&#xff08;接近&#xff09;某Reed-Solomon codeword。即证明某low-degree多项式。 FRI工作原理&#…

时间序列预测实战(十二)DLinear模型实现滚动长期预测并可视化预测结果

官方论文地址->官方论文地址 官方代码地址->官方代码地址 个人修改代码->个人修改的代码已经上传CSDN免费下载 一、本文介绍 本文给大家带来是DLinear模型&#xff0c;DLinear是一种用于时间序列预测&#xff08;TSF&#xff09;的简单架构&#xff0c;DLinear的核…

uni-app点击按钮弹出提示框-uni.showModal(OBJECT),选择确定和取消

参考文档&#xff1a; https://uniapp.dcloud.io/api/ui/prompt?idshowmodal 显示模态弹窗&#xff0c;可以只有一个确定按钮&#xff0c;也可以同时有确定和取消按钮。类似于一个API整合了 html 中&#xff1a;alert、confirm。 uni.showModal({title: 提示,content: 这是一…

【计算机网络笔记】IP分片

系列文章目录 什么是计算机网络&#xff1f; 什么是网络协议&#xff1f; 计算机网络的结构 数据交换之电路交换 数据交换之报文交换和分组交换 分组交换 vs 电路交换 计算机网络性能&#xff08;1&#xff09;——速率、带宽、延迟 计算机网络性能&#xff08;2&#xff09;…

openssl研发之base64编解码实例

一、base64编码介绍 Base64编码是一种将二进制数据转换成ASCII字符的编码方式。它主要用于在文本协议中传输二进制数据&#xff0c;例如电子邮件的附件、XML文档、JSON数据等。 Base64编码的特点如下&#xff1a; 字符集&#xff1a; Base64编码使用64个字符来表示二进制数据…

Leetcode刷题详解—— 目标和

1. 题目链接&#xff1a;494. 目标和 2. 题目描述&#xff1a; 给你一个非负整数数组 nums 和一个整数 target 。 向数组中的每个整数前添加 或 - &#xff0c;然后串联起所有整数&#xff0c;可以构造一个 表达式 &#xff1a; 例如&#xff0c;nums [2, 1] &#xff0c;可…