每當(dāng)ChatGPT等工具出現(xiàn)故障時，軟件開發(fā)人員離開辦公桌、休息片刻或沮喪地靠在椅背上，都不足為奇。對于技術(shù)領(lǐng)域的許多專業(yè)人士而言，AI輔助的編碼工具已成為一種便利。甚至像2025年3月24日發(fā)生的短暫故障，也可能使開發(fā)工作陷入停滯。

一位Reddit用戶寫道：“是時候泡杯咖啡，在陽光下坐15分鐘了?！绷硪晃换貜?fù)道：“同上?！?/p>

在包括網(wǎng)絡(luò)安全領(lǐng)域在內(nèi)的技術(shù)人員中，對ChatGPT等GenAI工具的過度依賴正在穩(wěn)步增長。這些工具正在改變開發(fā)人員編寫代碼、解決問題、學(xué)習(xí)和思考的方式——通常能提高短期效率，然而，這種轉(zhuǎn)變是有代價的：開發(fā)人員可能會削弱其編碼和批判性思維能力，這最終會對他們及其所在企業(yè)產(chǎn)生長期影響。

“我們觀察到一種趨勢，即初級專業(yè)人員，特別是剛進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)人員，在系統(tǒng)層面的深入理解方面存在困難，”Tuskira的聯(lián)合創(chuàng)始人兼CISO/首席產(chǎn)品官(CPO)Om Moolchandani說道?！霸S多人能夠生成功能代碼片段，但難以解釋其背后的邏輯或針對真實攻擊場景對其進(jìn)行保護(hù)?！?/p>

微軟最近的一項調(diào)查支持了Moolchandani的觀察結(jié)果，該調(diào)查強調(diào)，依賴AI完成部分工作的員工往往不太愿意深入質(zhì)疑、分析和評估自己的工作，尤其是當(dāng)他們信任AI會提供準(zhǔn)確結(jié)果時?！霸谑褂肎enAI工具時，批判性思維所投入的努力從信息收集轉(zhuǎn)變?yōu)樾畔Ⅱ炞C;從問題解決轉(zhuǎn)變?yōu)锳I響應(yīng)集成;從任務(wù)執(zhí)行轉(zhuǎn)變?yōu)槿蝿?wù)管理，”該論文寫道。

隨著AI代碼生成器改變開發(fā)人員的工作方式，它們也在重塑企業(yè)的運作方式。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者面臨的挑戰(zhàn)是如何利用這項技術(shù)，同時又不犧牲批判性思維、創(chuàng)造力和解決問題的能力——這些正是開發(fā)人員出類拔萃的技能。

短期收獲，長期風(fēng)險

一些CISO擔(dān)心對AI代碼生成器的依賴日益增長——尤其是在初級開發(fā)人員中——而另一些人則采取更輕松、觀望的態(tài)度，認(rèn)為這可能是一個未來的問題，而不是當(dāng)前的威脅。Endor Labs的CISO Karl Mattson認(rèn)為，在大多數(shù)大型企業(yè)中，AI的采用仍處于初級階段，實驗的好處仍然大于風(fēng)險。

“我還沒有看到明確的證據(jù)表明，對AI的依賴會導(dǎo)致基礎(chǔ)編碼技能廣泛下降，”他說?！澳壳?，我們正處于一個充滿創(chuàng)意樂觀主義、原型設(shè)計和AI早期成功的階段。核心基礎(chǔ)技能的下降仍感覺遙遙無期?！?/p>

其他人已經(jīng)看到了過度依賴AI工具編寫代碼帶來的一些影響。耶魯隱私實驗室創(chuàng)始人、PrivacySave的CEO兼創(chuàng)始人Sean O’Brien對日益依賴GenAI表示強烈擔(dān)憂。那些嚴(yán)重依賴ChatGPT或低代碼平臺等AI驅(qū)動工具的開發(fā)人員“通常會鼓勵一種‘氛圍編碼’的心態(tài)，他們更關(guān)注于讓某些東西運行起來，而不是真正理解它是如何或為什么運行的，”O(jiān)’Brien說。

Cynet的CTO Aviad Hasnis也感到擔(dān)憂，尤其是在初級專業(yè)人員身上，他們“嚴(yán)重依賴AI生成的代碼，卻沒有完全掌握其底層邏輯?！睋?jù)他介紹，這種過度依賴對個人和企業(yè)都帶來了多重挑戰(zhàn)?！熬W(wǎng)絡(luò)安全工作需要批判性思維、故障排除能力和評估AI模型建議之外風(fēng)險的能力，”他說。

雖然依賴AI代碼生成器可以提供快速解決方案和短期收益，但隨著時間的推移，這種依賴可能會適得其反?！耙虼?，當(dāng)AI系統(tǒng)不可用或不足時，開發(fā)人員可能難以適應(yīng)，從長遠(yuǎn)來看，這可能會使他們作為創(chuàng)新者和技術(shù)專家的能力失效，”DH2i的首席技術(shù)官兼聯(lián)合創(chuàng)始人Oj Ngo說道。

盲點、合規(guī)性和許可違規(guī)的風(fēng)險

隨著GenAI越來越深入地融入軟件開發(fā)和安全工作流中，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者對其可能引入的盲點提出了擔(dān)憂。

“AI可以生成看似安全的代碼，但它缺乏對企業(yè)威脅模型、合規(guī)需求和對抗性風(fēng)險環(huán)境的上下文感知，”Moolchandani說。

Tuskira的CISO列出了兩大問題：首先，AI生成的安全代碼可能無法針對不斷演變的攻擊技術(shù)進(jìn)行加固;其次，它可能無法反映企業(yè)的特定安全環(huán)境和需求。此外，AI生成的代碼可能會給人一種虛假的安全感，因為開發(fā)人員，尤其是缺乏經(jīng)驗的開發(fā)人員，通常默認(rèn)認(rèn)為它是安全的。

此外，與合規(guī)性和許可條款或監(jiān)管標(biāo)準(zhǔn)違規(guī)相關(guān)的風(fēng)險也可能導(dǎo)致后續(xù)的法律問題?！霸S多AI工具，特別是那些基于開源代碼庫生成代碼的工具，可能會不小心將未經(jīng)審查、許可不當(dāng)甚至惡意代碼引入您的系統(tǒng)，”O(jiān)’Brien說。

例如，開源許可通常對歸屬、再分發(fā)和修改有具體要求，而依賴AI生成的代碼可能意味著意外違反這些許可?！斑@在為網(wǎng)絡(luò)安全工具開發(fā)軟件的上下文中尤其危險，因為遵守開源許可不僅是法律義務(wù)，而且影響安全態(tài)勢，”O(jiān)’Brien補充道?！盁o意中違反知識產(chǎn)權(quán)法或引發(fā)法律責(zé)任的風(fēng)險很大?！?/p>

從技術(shù)的角度來看，Digital.ai的首席技術(shù)官Wing To指出，不應(yīng)將AI生成的代碼視為萬能藥?！癆I生成的代碼在安全和其他領(lǐng)域的主要挑戰(zhàn)在于，相信其質(zhì)量比人類生成的代碼更好，”他說。“AI生成的代碼存在包含漏洞、錯誤、受保護(hù)的知識產(chǎn)權(quán)和其他隱藏在訓(xùn)練數(shù)據(jù)中的質(zhì)量問題。”

AI生成代碼的興起進(jìn)一步強化了企業(yè)在軟件開發(fā)和交付方面采用最佳實踐的需求。這包括一致地應(yīng)用獨立的代碼審查，以及實施具有自動化質(zhì)量和安全檢查功能的強大持續(xù)集成/持續(xù)部署(CI/CD)流程。

改變招聘流程

既然GenAI已成定局，CISO及其服務(wù)的企業(yè)便不能再忽視其影響。在這種新常態(tài)下，有必要設(shè)置防護(hù)欄，以促進(jìn)批判性思維，培養(yǎng)對代碼的深入理解，并加強所有參與編寫代碼的團(tuán)隊的問責(zé)制。

Moolchandani說，公司在招聘經(jīng)驗較少的專業(yè)人員時，也應(yīng)該重新考慮如何評估技術(shù)技能?！按a測試可能不再足夠——需要更加關(guān)注安全推理、架構(gòu)和對抗性思維?！?/p>

在DH2i的招聘過程中，Ngo表示他們會評估候選人對AI的依賴程度，以判斷其批判性思維和獨立工作的能力。“雖然我們認(rèn)識到AI在提高生產(chǎn)力方面的價值，但我們更傾向于雇用擁有扎實基礎(chǔ)技能的員工，這樣他們就能有效地將AI作為工具使用，而不是依賴它作為拐杖?！?/p>

紐約大學(xué)全球CIO Don Welch有類似的觀點，并補充說，那些將在這個新范式中茁壯成長的人將是那些保持好奇心、提出問題并盡力了解周圍世界的人。“要雇用那些重視成長和學(xué)習(xí)的人，”Welch說。

一些網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者擔(dān)心，過度依賴AI可能會加劇該行業(yè)已經(jīng)面臨的人才短缺危機。對于中小型企業(yè)而言，找到熟練人才并幫助他們成長可能會變得越來越困難?！叭绻乱淮踩珜I(yè)人員主要接受的是如何使用AI的培訓(xùn)，而不是批判性地思考安全挑戰(zhàn)，那么該行業(yè)可能會難以培養(yǎng)出推動創(chuàng)新和韌性的經(jīng)驗豐富的領(lǐng)導(dǎo)者，”Hasnis說。

GenAI不能取代編碼知識

使用AI工具編寫代碼而沒有深厚技術(shù)基礎(chǔ)的早期職業(yè)專業(yè)人員面臨著停滯不前的高風(fēng)險。他們可能不了解攻擊向量、系統(tǒng)內(nèi)部或安全軟件設(shè)計，Moolchandani說?！皬闹虚L期來看，這可能會限制他們成長為高級安全角色，而在這些角色中，威脅建模、可利用性分析和安全工程方面的專業(yè)知識至關(guān)重要。公司很可能會區(qū)分那些用AI增強技能的人和那些依賴AI來彌補基礎(chǔ)差距的人?！?/p>

Moolchandani和其他人建議企業(yè)增加培訓(xùn)力度并調(diào)整知識傳授方法?！霸诼毰嘤?xùn)必須更加注重實踐，專注于真實世界的漏洞、利用技術(shù)和安全編碼原則，”他說。

Mattson表示，企業(yè)應(yīng)更多地關(guān)注幫助員工獲得未來的相關(guān)技能。技術(shù)將快速發(fā)展，僅憑培訓(xùn)項目可能不足以跟上步伐?！暗珜θ魏巫兓?，持續(xù)技能改進(jìn)的文化都是持久的，”Mattson補充道。

這些培訓(xùn)項目應(yīng)幫助員工了解AI的優(yōu)缺點，學(xué)習(xí)何時依賴這些工具以及何時必須進(jìn)行人工干預(yù)，Hasnis說?！巴ㄟ^將AI驅(qū)動的效率與人工監(jiān)督相結(jié)合，公司可以利用AI的力量，同時確保其安全團(tuán)隊保持專注、熟練和具有韌性，”他說。他建議開發(fā)人員始終質(zhì)疑AI輸出，特別是在安全敏感環(huán)境中。

O’Brien也認(rèn)為AI應(yīng)與人類專業(yè)知識相結(jié)合?！肮拘枰獱I造一種文化，即將AI視為一種工具：一種可以提供幫助但不能取代對編程和傳統(tǒng)軟件開發(fā)及部署深入理解的工具，”他說。

“至關(guān)重要的是，公司不要陷入僅僅使用AI來彌補專業(yè)知識不足的陷阱。”