根據(jù)Venafi的調查，92%的安全領導者對其企業(yè)內使用AI生成的代碼表示擔憂。

安全團隊與開發(fā)團隊之間的緊張關系

83%的安全領導者表示，他們的開發(fā)人員目前使用AI生成代碼，其中57%稱這種做法已成為常態(tài)，然而，72%的人認為，他們別無選擇，只能允許開發(fā)人員使用AI來保持競爭力，而63%的人則由于安全風險，曾考慮禁止在編碼中使用AI。

66%的受訪者表示，安全團隊無法跟上由AI驅動的開發(fā)人員的步伐。結果，安全領導者感到他們正在失去控制，企業(yè)正因此面臨風險。78%的人相信AI生成的代碼將導致安全危機，59%的人因AI的安全隱患而夜不能寐。

63%的安全領導者認為，在企業(yè)內無法有效管理AI的安全使用，因為他們無法清晰了解AI的具體使用位置。盡管存在這些擔憂，47%的公司已經(jīng)制定了確保在開發(fā)環(huán)境中安全使用AI的政策。

Venafi的首席創(chuàng)新官Kevin Bocek表示：“安全團隊陷入了兩難境地，處在一個由AI編寫代碼的新時代。開發(fā)人員已經(jīng)通過AI得到極大增強，他們不會放棄這種‘超能力’。同時，攻擊者正在滲透我們的隊伍——最近在開源項目中的長期干預，以及朝鮮對IT領域的滲透，僅僅是冰山一角?！?/p>

Bocek補充道：“如今任何擁有大型語言模型(LLM)的人都可以編寫代碼，這打開了一個全新的戰(zhàn)線。代碼才是關鍵，不管是你們的開發(fā)人員使用AI超速編寫的代碼，還是外部代理滲透的代碼，或者是某位財務人員使用從誰都不清楚的訓練數(shù)據(jù)生成的LLM代碼。因此，代碼至關重要!我們必須驗證代碼的來源?！?/p>

安全領導者對AI生成代碼的主要擔憂

當談到開發(fā)人員使用AI編寫或生成代碼時，安全領導者提出了三大主要擔憂：

1. 開發(fā)人員可能過度依賴AI，導致標準下降

2. AI編寫的代碼不會被有效地進行質量檢查

3. AI可能會使用過時且維護不善的開源庫

研究還指出，AI使用開源不僅給安全團隊帶來了挑戰(zhàn)：

開源的過度使用：

安全領導者估計，平均61%的應用程序使用開源代碼。這種對開源的過度依賴可能帶來潛在風險，因為86%的受訪者認為，開源代碼在開發(fā)者中更注重速度，而非安全最佳實踐。

令人困擾的驗證問題：

90%的安全領導者信任開源庫中的代碼，其中43%表示完全信任，然而，75%的人認為不可能驗證每一行開源代碼的安全性。因此，92%的安全領導者認為，應該使用代碼簽名來確保開源代碼的可信性。

Venafi的首席創(chuàng)新官Kevin Bocek補充道：“最近的CrowdStrike宕機事件顯示了代碼從開發(fā)者迅速傳播到全球危機的影響。如今，代碼可以來自任何地方，包括AI和外部代理。未來只會有更多的代碼來源，而不是更少?；谏矸蒡炞C代碼、應用程序和工作負載，確保它們沒有被修改且被批準使用，是我們今天和未來最好的選擇。我們應該把CrowdStrike宕機事件視為未來挑戰(zhàn)的完美例子，而不是偶然的個例?！?/p>

維護代碼簽名的信任鏈可以幫助企業(yè)防止未經(jīng)授權的代碼執(zhí)行，同時也能擴大操作規(guī)模，以跟上開發(fā)人員使用AI和開源技術的步伐。

Bocek總結道：“在一個AI和開源既強大又不可預測的世界里，代碼簽名成為企業(yè)的基礎防線，但要讓這種防護生效，代碼簽名過程必須既強大又安全，這不僅僅是阻止惡意代碼的問題——企業(yè)需要確保每一行代碼都來自可信的來源，并驗證數(shù)字簽名，確保自簽名以來沒有任何篡改。好消息是，代碼簽名幾乎無處不在——壞消息是，它往往沒有得到安全團隊的充分保護，而這些團隊本可以幫助確保其安全性?！?/p>