极客网·网络安全9月19日 Venafi一份针对网络安全高管的调查发现,全球高达83%的组织正在使用AI来生成代码,相应的安全防护却严重滞后。调查表明,92%的受访者对开发和运营团队如此广泛依赖AI所隐含的安全影响表示担忧。
这项调查汇集了来自美国、英国、德国和法国的800名受访者的观点和见解,凸显出AI 驱动开发的快速发展与有效保障新技术安全的能力之间的差距在日益扩大。
尽管风险越来越大,但72%的受访者表示,他们别无选择,只能允许开发人员使用AI来保持竞争力。与此同时,63%的受访者出于安全考虑打算完全禁止AI生成的代码。
AI辅助代码开发变得司空见惯
Venafi在报告中强调的一个最紧迫的挑战:安全团队难以跟上AI驱动的开发速度。66%的受访者承认,安全团队几乎不可能以AI驱动的代码部署速度来管理它,这引发了人们对即将到来的“安全清算”的担忧。与此同时,78%的受访者预计,随着AI的采用量继续激增,将会面临严峻的安全挑战。
Venafi首席创新官Kevin Bocek说:“随着开发人员和新手以尚未了解的方式使用大量GenAI生成的代码,已经开始出现一些新的威胁,例如AI中毒和模型逃逸。”
该报告还揭示了开发和运营人员对开源代码的严重依赖。受访的安全领导者估计,他们 61%的应用都包含开源组件。虽然90%的安全领导者信任这些库,但86%的人认为开源优先考虑的是速度而不是安全最佳实践。
这带来了一个严峻的挑战,因为75%的人承认,验证每一行开源代码的安全性几乎是不可能实现的。
Venafi技术总监Steve Judd对此表示,“组织不能盲目地相信开源解决方案,因为他们真的不知道是谁创建了这些解决方案或做出了贡献。”
AI带来的安全问题存在治理差距
Venafi的研究还指出了安全治理方面的重大差距,47%的组织缺乏确保在其开发环境中安全使用AI的政策。此外,63%的安全领导者认为,由于无法了解AI的使用情况,因此几乎不可能在组织内部对AI的使用进行监管。
Venafi在报告中主张将代码签名作为一种关键的防御机制,以抵御AI和开源开发带来的风险。92%的安全领导者认为代码签名对于在开源代码中建立信任至关重要,因为它验证了代码的真实性和完整性。这种方法可确保不执行任何未经授权的代码,从而保护组织免受潜在攻击。
值得注意的是,早在AI出现之前,很多编码工作已经实现了自动化。像代码自动补全和低代码平台这样的工具已经能够处理一些日常任务,例如检测bug、样板代码生成和语言翻译。集成开发环境(IDE)也早就能够提供自动完成功能,以加快编码速度并减少人工操作。
不过,这些自动化系统传统上主要关注调试和格式化等低级任务,主要是为了简化特定的开发阶段,与AI驱动的利用大型语言模型(LLM)来大量增加代码大有不同。
