如何提高 AI 辅助软件开发的安全性

AI 在软件开发中的现状

• 如今，人工智能（AI）这一 “精灵” 已被释放且不会再被收回，其在软件开发领域的应用也日益广泛。GitHub 的一项调查显示，92% 的美国开发人员已在工作内外使用 AI 编码工具。他们表示，AI 技术有助于提升技能（57% 的人提到）、提高生产力（53%）、让他们专注于构建 / 创造而非重复性任务（51%）以及避免职业倦怠（41%）。
• 可以肯定地说，在不久的将来，AI 辅助开发将更加成为一种常态。企业将不得不制定政策和最佳实践来有效管理这一切，就像他们对云部署、自带设备（BYOD）和其他职场技术趋势所做的那样。但这种监管仍在进行中，例如，许多开发人员在未经其组织的 IT 部门或管理层知晓或批准的情况下使用这些工具，即所谓的 “影子 AI”。

首席信息安全官的责任与挑战

• 首席信息安全官负责确定安全防护措施，让开发人员了解哪些 AI 工具和实践是可行的，哪些是不可行的。他们需要引领从影子 AI 的不确定性向更可知、可控和管理良好的自带 AI（BYOAI）环境的转变。
• 目前的情况较为严峻，据 2024 年云原生安全状况报告显示，44% 的组织担心与 AI 生成代码相关的风险。Snyk 的研究表明，56% 的软件和安全团队成员称不安全的 AI 建议很常见。五分之四的开发人员会绕过安全政策使用 AI（即影子 AI），但只有十分之一的人会对大部分代码进行扫描，这通常是因为该过程会增加代码审查的周期，从而拖慢整体工作流程。
• 斯坦福大学的一项研究发现，使用 AI 助手的开发人员中仅有 3% 编写了安全的产品，而未使用 AI 的开发人员中这一比例为 21%。有 AI 访问权限的人员中，36% 创建的产品易受 SQL 注入攻击，而无访问权限的人员中这一比例仅为 7%。

应对策略

• 建立可见性：消除影子 AI 最可靠的方法是将 AI 从暗处暴露出来。CISOs 需要了解开发团队正在使用哪些工具、未使用哪些工具以及原因，从而清楚代码的来源以及 AI 的使用是否会引入网络风险。
• 平衡安全与生产力：CISOs 不应阻止团队寻找自己的工具，而应在生产力和安全之间寻求良好平衡。如果在一定范围内的 AI 相关活动能够在最小风险或至少可接受的风险下实现生产目标，就应允许其进行。CISOs 应抱着合作的心态与开发团队共同制定准则和流程，让开发人员明白既要提高效率，又要确保安全。
• 进行衡量：CISOs 应与编码团队合作，制定衡量软件生产力以及可靠性 / 安全性的 KPI。这些 KPI 应能回答以下问题：“我们使用 AI 的产出是多少？速度有多快？我们流程的安全性是变好了还是变差了？” 需注意，这些是 “组织” KPI，必须与公司战略和目标保持一致，让开发人员认识到 KPI 有助于他们在控制风险的同时达到 “更多 / 更快 / 更好” 的水平。

原文始发于微信公众号（黑客联盟l）：如何提高 AI 辅助软件开发的安全性