AI代碼生成引安全新威脅：審查漏洞成行業(yè)新挑戰(zhàn)

AI代碼生成引安全新威脅：審查漏洞成行業(yè)新挑戰(zhàn)

隨著人工智能（AI）在編程領域的廣泛應用，一種新的安全威脅正在浮現(xiàn)。近期的一份報告顯示，AI生成的代碼數(shù)量激增，但人工代碼審核卻無法同步跟上，這為網(wǎng)絡安全帶來了新的挑戰(zhàn)。

首先，我們來看看AI在編程中的重要作用。根據(jù)Cloudsmith近期發(fā)布的報告，42%的代碼是由AI生成的。這意味著每三個開發(fā)者中，就有一個依賴AI來生成或輔助編寫代碼。這一趨勢在GitHub的調(diào)查中也得到了印證，超過97%的開發(fā)者表示曾使用AI編碼工具，且88%-59%的受訪者表示公司“至少部分支持”此類工具。

然而，這種趨勢背后隱藏的威脅也不容忽視。開發(fā)者普遍擔憂AI可能加劇開源惡意軟件威脅。根據(jù)報告，79.2%的受訪者認為AI將增加環(huán)境中惡意軟件數(shù)量，其中30%認為威脅將“顯著上升”。這意味著，AI快速生成代碼的能力，可能會放大傳統(tǒng)風險，如代碼完整性、依賴管理、SBOMs（軟件物料清單）等。

更關鍵的是，由于AI的“快速復用未知或不可信代碼”，開發(fā)者在代碼生成階段面臨的風險最高。這意味著未經(jīng)審查或不可信的AI制品可能會直接投入生產(chǎn)環(huán)境，形成供應鏈漏洞。這不僅可能引發(fā)安全問題，如數(shù)據(jù)泄露或系統(tǒng)崩潰，還可能影響軟件的質(zhì)量和穩(wěn)定性。

面對這一新挑戰(zhàn)，我們需要采取相應的措施。首先，通過“智能訪問控制”和“端到端可見性”強化制品管理，確保AI生成的代碼符合公司的政策和標準。其次，采用動態(tài)訪問策略與“政策即代碼”框架，強制執(zhí)行自動政策，標記未經(jīng)審查或不可信的AI制品。此外，通過“溯源追蹤”區(qū)分人機代碼，以便更好地了解和解決潛在的安全問題。

然而，這些措施的實施并非易事。開發(fā)者們對AI輸入的風險管控存在疑慮，只有40%的人認為該環(huán)節(jié)需嚴格管控。因此，我們需要更多的教育和培訓，以提高開發(fā)者的安全意識，并使他們了解如何正確、安全地使用AI。

此外，行業(yè)組織也需發(fā)揮作用。他們可以制定和推廣相關標準和指南，以幫助開發(fā)者應對這一新威脅。同時，他們還可以提供安全審計服務，以確保使用AI的開發(fā)者遵守最佳實踐和規(guī)定。

最后，企業(yè)應意識到，安全是軟件開發(fā)過程中不可或缺的一部分。無論是手動還是使用AI生成的代碼，都需要進行嚴格的安全審查。因此，企業(yè)應投資于訓練有素的代碼審查團隊，并確保他們具備處理各種安全問題的能力。

總的來說，AI在編程中的廣泛應用為行業(yè)帶來了巨大的潛力，但同時也帶來了新的安全威脅。我們需要采取適當?shù)拇胧﹣響獙@些威脅，以確保軟件開發(fā)過程的安全和穩(wěn)健。只有這樣，我們才能充分利用AI的力量，同時確保系統(tǒng)的安全性和可靠性。

生成海報

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）