主要内容
就像你可能不会自己种植和研磨小麦来制作面包的面粉一样,大多数软件开发人员也不会从头开始为新项目编写每一行代码。这样做会极其缓慢,并且可能会产生比解决的更多的安全问题。因此,开发人员会利用现有的库——通常是开源项目——来获取各种基本的软件组件。
这种方法虽然高效,但可能会导致软件的暴露和缺乏可见性。然而,越来越多的“活力编码”兴起,它以类似的方式被使用,允许开发人员快速生成可以简单改编的代码,而不是从头开始编写。
安全研究人员警告说,这种新的即插即用代码类型使软件供应链安全更加复杂和危险。云安全公司 Edera 的首席技术官 Alex Zenla 表示:“我们现在正处于 AI 即将在安全方面失去其宽限期的阶段。在生成不安全的代码方面,AI 是自己最大的敌人。如果 AI 部分是在现有的旧的、易受攻击的或低质量的软件上进行训练的,那么所有已存在的漏洞都可能再次出现,更不用说新的问题了。”
除了吸收潜在的不安全训练数据外,“活力编码”的实际情况是,它生成的代码初稿可能没有充分考虑到给定产品或服务的所有具体上下文和考虑因素。换句话说,即使公司在项目的源代码和目标的自然语言描述上训练本地模型,生产过程仍然依赖于人类审查员发现最初由 AI 生成的代码中任何可能的缺陷或不一致的能力。
在 Checkmarx 对首席信息安全官、应用安全经理和开发负责人的调查中,三分之一的受访者表示,2024 年他们组织超过 60%的代码是由 AI 生成的。但只有 18%的受访者表示他们的组织有一份批准的“活力编码”工具列表。Checkmarx 调查了数千名专业人员,并在 8 月发布了调查结果,强调 AI 开发使追踪代码的“所有权”更加困难。
开源项目本身可能不安全、过时或面临恶意接管的风险,并且它们可以在没有足够透明度或文档的情况下被纳入代码库。但研究人员指出,在开源中一直存在的一些基本的保障和问责机制在 AI 驱动的开发中缺失或严重碎片化。
Edera 的 AI 产品负责人 Dan Fernandez 表示:“AI 代码不是很透明。在像 Github 这样的存储库中,你至少可以看到诸如拉取请求和提交消息等内容,以了解谁对代码做了什么,并且有办法追溯谁做出了贡献。但对于 AI 代码,没有同样的问责制,不知道其中包含了什么,也不知道它是否经过了人类的审核。来自人类的代码行也可能是问题的一部分。”
Edera 的 Zenla 还指出,虽然“活力编码”似乎是为像小企业或弱势群体这样资源匮乏的群体创建基本应用程序和工具的低成本方式,但易用性带来了在这些风险最高和最敏感的情况下造成安全暴露的危险。