AI 代码暗藏 “雷区”：企业开发安全告急

ai-in-coding

软件开发人员如今正借助人工智能（AI）助手以前所未有的速度编写代码。然而，新研究显示，从安全层面考量，AI 生成的代码或许并没有人们想象中那么可靠，企业对此必须予以重视。

应用程序安全管理公司 Apiiro 在周三发布了一篇新博客，该博客得到了高德纳咨询公司（Gartner Research）的支持。博客中发出警告，开发人员在使用 AI 工具编写代码时，面临着 “安全权衡” 的问题。

这一切皆归因于 AI 生成代码的迅猛发展。由于代码存在错误，且缺乏人力进行监管，这给企业带来了严重的安全风险。

去年 7 月，Stack Overflow 对开发人员进行的一项调查显示，全球超过 80% 的开发人员表示，他们目前正在使用 AI 工具编写代码，这使得 AI 在 2024 年成为开发工作流程中最受欢迎的应用。鉴于生成式 AI 的持续进步，不难推测在过去的六个月里，这一比例还在不断上升。

Apiiro reseaerch AI-written code vs security 1

Apiiro 通过对数百家金融服务、工业制造和科技企业的数百万行代码进行深度分析后发现，AI 生成的代码存在重大安全风险。

这些安全漏洞包括：包含个人身份信息（PII）和支付数据的代码库数量激增 3 倍；缺少授权和输入验证的应用程序编程接口（API）数量增加 10 倍；暴露的敏感 API 端点数量也在不断增多。

问题不仅出在生成式 AI 产生的代码错误上，自 2022 年 11 月 OpenAI 推出 ChatGPT 以来，大量开发人员开始使用 AI 工具，这也加剧了问题的严重性。

研究人员引用微软的一份报告指出，目前有超过 1.5 亿开发人员在使用 GitHub Copilot，这一数字是该工具 2021 年 10 月推出时的两倍多。

Apiiro 表示：“在过去两年里，像 GitHub Copilot 这样的生成式 AI 代码助手的出现，显著提高了代码编写速度，尽管开发人员的数量并未增加。”

Apiiro 的数据显示，自 2022 年第三季度以来，代码合并请求（PR）的数量激增了 70%，远超代码库 30% 的增长速度和开发人员 20% 的增长速度。

这意味着，对 AI 生成的代码进行安全审查的人力不足，是一个严峻的问题。除非企业开始采用自动化审查流程，否则这个问题将持续恶化，使企业面临安全威胁。

研究人员指出，随着 AI 代码编写的爆发式增长，目前大多数企业采用的 “传统手动安全和风险管理审查流程”，已无法适应新的 AI 环境。

Apiiro 认为，实际的代码错误源于生成式 AI 本身的缺陷，主要是因为它 “缺乏对企业风险和合规政策的全面理解”。

Apiiro reseaerch AI-written code vs security 10x

例如，数据显示，随着代码库数量的增加，API 暴露敏感数据的概率几乎翻了一番。

Apiiro reseaerch AI-written code vs security repos

研究还表明，在过去约六个月的时间里，代码库中的个人身份信息和支付信息增加了两倍。

Apiiro reseaerch AI-written code vs security

此外，过去一年中，包含缺少授权和输入验证 API 的代码库数量增长了 10 倍，这与开发人员使用 AI 编写代码的增长趋势相符。

一份《实用开发安全运营报告》指出，这意味着任何人，尤其是网络犯罪分子，都可以访问 API，从而使企业面临数据泄露、账户被盗、注入攻击、会话劫持、系统过载和其他功能滥用等风险。

尽管技术专家预测，随着通用人工智能（AGI）的不断发展，这些安全漏洞最终可能会消失，但从安全角度出发，这些问题仍亟待解决。

Apiiro 表示，随着开发人员面临更快编写代码的压力，这些应用程序安全风险还将进一步增加，“这凸显了加强风险检测和管理的必要性”。