現(xiàn)在，很明顯人工智能 (AI) “精靈”已經(jīng)從瓶子里出來了——永遠(yuǎn)。這延伸到了軟件開發(fā)領(lǐng)域，GitHub 的一項(xiàng)調(diào)查顯示，92% 的美國開發(fā)人員已經(jīng)在工作內(nèi)外使用 AI 編碼工具。他們表示，AI 技術(shù)幫助他們提高技能（57% 的人提到）、提高生產(chǎn)力（53%）、專注于構(gòu)建/創(chuàng)造而不是重復(fù)任務(wù)（51%）并避免倦?。?1%）。

可以肯定地說，在不久的將來，人工智能輔助開發(fā)將更加成為一種常態(tài)。組織必須制定政策和最佳實(shí)踐來有效地管理這一切，就像他們對云部署、自帶設(shè)備 (BYOD) 和其他工作場所技術(shù)趨勢所做的那樣。但這種監(jiān)督仍在進(jìn)行中。例如，許多開發(fā)人員在未經(jīng)組織 IT 部門或管理層知情或批準(zhǔn)的情況下使用這些工具 參與所謂的“影子人工智能”。

這些管理者包括首席信息安全官 ( CISO )，他們負(fù)責(zé)確定防護(hù)措施，以便開發(fā)人員了解哪些 AI 工具和實(shí)踐可以，哪些不可以。CISO 需要引領(lǐng)從影子 AI 的不確定性過渡到更知名、更可控、管理更完善的自帶 AI (BYOAI) 環(huán)境。

現(xiàn)在是轉(zhuǎn)型的時候了，因?yàn)樽罱膶W(xué)術(shù)和行業(yè)研究揭示了一種不穩(wěn)定的狀態(tài)：根據(jù)《2024 年云原生安全狀況報告》（PDF），44% 的組織擔(dān)心與 AI 生成的代碼相關(guān)的風(fēng)險。Snyk的研究表明，56% 的軟件和安全團(tuán)隊(duì)成員表示不安全的 AI 建議很常見。五分之四的開發(fā)人員繞過安全策略使用 AI（即影子 AI），但只有十分之一的人掃描了他們的大部分代碼，通常是因?yàn)樵撨^程增加了代碼審查的周期，從而減慢了整體工作流程。

在斯坦福大學(xué)的一項(xiàng)研究中，研究人員發(fā)現(xiàn)，使用人工智能助手的開發(fā)人員中，只有3% 編寫了安全的產(chǎn)品，而沒有使用人工智能的開發(fā)人員中，這一比例為 21%。使用人工智能的開發(fā)人員中，36% 編寫的產(chǎn)品易受 SQL 注入攻擊，而沒有使用人工智能的開發(fā)人員中，這一比例為 7%。

采用精心構(gòu)思和執(zhí)行的 BYOAI 策略將極大地幫助 CISO 克服挑戰(zhàn)，因?yàn)殚_發(fā)人員可以利用這些工具快速編寫代碼。通過安全和編碼團(tuán)隊(duì)之間的密切合作，CISO 將不再站在編碼環(huán)境之外，對誰在使用什么一無所知。他們將培養(yǎng)一種文化，讓開發(fā)人員認(rèn)識到他們不能盲目信任人工智能，因?yàn)檫@樣做會導(dǎo)致日后出現(xiàn)大量問題。許多團(tuán)隊(duì)已經(jīng)熟悉需要“逆向工作”來修復(fù)從一開始就沒有解決的糟糕編碼和安全性，因此也許人工智能安全意識也會讓開發(fā)人員在未來更加明顯地意識到這一點(diǎn)。

那么 CISO 如何達(dá)到這一狀態(tài)呢？通過結(jié)合以下實(shí)踐和觀點(diǎn)：

建立可見性。消除影子人工智能最可靠的方法是將人工智能從陰影中移除，對嗎？首席信息安全官需要了解開發(fā)團(tuán)隊(duì)正在使用的工具、他們不使用的工具以及原因。這樣，他們就能清楚地知道代碼來自哪里，以及人工智能的參與是否會引入網(wǎng)絡(luò)風(fēng)險。

實(shí)現(xiàn)安全性和生產(chǎn)力之間的平衡。首席信息安全官不能也不應(yīng)該阻止團(tuán)隊(duì)尋找自己的工具。相反，他們必須在生產(chǎn)力和安全性之間尋求微妙的平衡。他們需要愿意在一定范圍內(nèi)允許相關(guān)的人工智能相關(guān)活動，前提是這些活動能夠以最小或至少可接受的風(fēng)險實(shí)現(xiàn)生產(chǎn)目標(biāo)。

換句話說，與采取“拒絕部門”的心態(tài)相反，CISO 應(yīng)該以這樣的心態(tài)為他們的開發(fā)團(tuán)隊(duì)制定指導(dǎo)方針和認(rèn)可流程：“我們很感激您發(fā)現(xiàn)新的 AI 解決方案，這些解決方案將使您能夠更有效地創(chuàng)建軟件。我們只是想確保您的解決方案不會導(dǎo)致最終阻礙生產(chǎn)力的安全問題。所以讓我們一起努力吧?！?/span>

衡量。同樣，本著協(xié)作精神，首席信息安全官應(yīng)與編碼團(tuán)隊(duì)合作，制定衡量軟件生產(chǎn)力和可靠性/安全性的關(guān)鍵績效指標(biāo) (KPI)。KPI 應(yīng)該回答以下問題：“我們利用人工智能生產(chǎn)了多少？我們生產(chǎn)的速度有多快？我們流程的安全性是變好了還是變壞了？”

請記住，這些不是“安全”KPI。它們是“組織”KPI，必須與公司戰(zhàn)略和目標(biāo)保持一致。在最好的情況下，開發(fā)人員會將 KPI 視為更好地為他們提供信息的東西，而不是負(fù)擔(dān)。他們會認(rèn)識到 KPI 可以幫助他們達(dá)到“更多/更快/更好”的水平，同時控制風(fēng)險因素。

開發(fā)團(tuán)隊(duì)可能比 CISO 預(yù)期的更愿意接受“安全第一”的合作關(guān)系。事實(shí)上，這些團(tuán)隊(duì)成員在部署 AI 編碼工具時將安全審查與代碼審查一起列為優(yōu)先事項(xiàng)。他們還認(rèn)為協(xié)作可以使代碼編寫更干凈、更安全。

因此，首席信息安全官應(yīng)迅速推進(jìn) AI 可見性和 KPI 計(jì)劃，以支持“恰到好處”的平衡，從而實(shí)現(xiàn)最佳的安全性和生產(chǎn)力結(jié)果。畢竟，精靈永遠(yuǎn)不會回到瓶子里。因此，確保精靈能夠發(fā)揮我們的最佳工作效果而不會帶來不必要的風(fēng)險至關(guān)重要。