根據(jù)Venafi的調(diào)查，92%的安全領(lǐng)導(dǎo)者對其企業(yè)內(nèi)使用AI生成的代碼表示擔(dān)憂。

安全團(tuán)隊與開發(fā)團(tuán)隊之間的緊張關(guān)系

83%的安全領(lǐng)導(dǎo)者表示，他們的開發(fā)人員目前使用AI生成代碼，其中57%稱這種做法已成為常態(tài)，然而，72%的人認(rèn)為，他們別無選擇，只能允許開發(fā)人員使用AI來保持競爭力，而63%的人則由于安全風(fēng)險，曾考慮禁止在編碼中使用AI。

66%的受訪者表示，安全團(tuán)隊無法跟上由AI驅(qū)動的開發(fā)人員的步伐。結(jié)果，安全領(lǐng)導(dǎo)者感到他們正在失去控制，企業(yè)正因此面臨風(fēng)險。78%的人相信AI生成的代碼將導(dǎo)致安全危機，59%的人因AI的安全隱患而夜不能寐。

63%的安全領(lǐng)導(dǎo)者認(rèn)為，在企業(yè)內(nèi)無法有效管理AI的安全使用，因為他們無法清晰了解AI的具體使用位置。盡管存在這些擔(dān)憂，47%的公司已經(jīng)制定了確保在開發(fā)環(huán)境中安全使用AI的政策。

Venafi的首席創(chuàng)新官Kevin Bocek表示：“安全團(tuán)隊陷入了兩難境地，處在一個由AI編寫代碼的新時代。開發(fā)人員已經(jīng)通過AI得到極大增強，他們不會放棄這種‘超能力’。同時，攻擊者正在滲透我們的隊伍——最近在開源項目中的長期干預(yù)，以及朝鮮對IT領(lǐng)域的滲透，僅僅是冰山一角。”

Bocek補充道：“如今任何擁有大型語言模型(LLM)的人都可以編寫代碼，這打開了一個全新的戰(zhàn)線。代碼才是關(guān)鍵，不管是你們的開發(fā)人員使用AI超速編寫的代碼，還是外部代理滲透的代碼，或者是某位財務(wù)人員使用從誰都不清楚的訓(xùn)練數(shù)據(jù)生成的LLM代碼。因此，代碼至關(guān)重要!我們必須驗證代碼的來源。”

安全領(lǐng)導(dǎo)者對AI生成代碼的主要擔(dān)憂

當(dāng)談到開發(fā)人員使用AI編寫或生成代碼時，安全領(lǐng)導(dǎo)者提出了三大主要擔(dān)憂：

1. 開發(fā)人員可能過度依賴AI，導(dǎo)致標(biāo)準(zhǔn)下降

2. AI編寫的代碼不會被有效地進(jìn)行質(zhì)量檢查

3. AI可能會使用過時且維護(hù)不善的開源庫

研究還指出，AI使用開源不僅給安全團(tuán)隊帶來了挑戰(zhàn)：

開源的過度使用：

安全領(lǐng)導(dǎo)者估計，平均61%的應(yīng)用程序使用開源代碼。這種對開源的過度依賴可能帶來潛在風(fēng)險，因為86%的受訪者認(rèn)為，開源代碼在開發(fā)者中更注重速度，而非安全最佳實踐。

令人困擾的驗證問題：

90%的安全領(lǐng)導(dǎo)者信任開源庫中的代碼，其中43%表示完全信任，然而，75%的人認(rèn)為不可能驗證每一行開源代碼的安全性。因此，92%的安全領(lǐng)導(dǎo)者認(rèn)為，應(yīng)該使用代碼簽名來確保開源代碼的可信性。

Venafi的首席創(chuàng)新官Kevin Bocek補充道：“最近的CrowdStrike宕機事件顯示了代碼從開發(fā)者迅速傳播到全球危機的影響。如今，代碼可以來自任何地方，包括AI和外部代理。未來只會有更多的代碼來源，而不是更少。基于身份驗證代碼、應(yīng)用程序和工作負(fù)載，確保它們沒有被修改且被批準(zhǔn)使用，是我們今天和未來最好的選擇。我們應(yīng)該把CrowdStrike宕機事件視為未來挑戰(zhàn)的完美例子，而不是偶然的個例。”

維護(hù)代碼簽名的信任鏈可以幫助企業(yè)防止未經(jīng)授權(quán)的代碼執(zhí)行，同時也能擴大操作規(guī)模，以跟上開發(fā)人員使用AI和開源技術(shù)的步伐。

Bocek總結(jié)道：“在一個AI和開源既強大又不可預(yù)測的世界里，代碼簽名成為企業(yè)的基礎(chǔ)防線，但要讓這種防護(hù)生效，代碼簽名過程必須既強大又安全，這不僅僅是阻止惡意代碼的問題——企業(yè)需要確保每一行代碼都來自可信的來源，并驗證數(shù)字簽名，確保自簽名以來沒有任何篡改。好消息是，代碼簽名幾乎無處不在——壞消息是，它往往沒有得到安全團(tuán)隊的充分保護(hù)，而這些團(tuán)隊本可以幫助確保其安全性。”