软件开发目前面临的最大矛盾和威胁是:人类审核的速度已经跟不上AI生成代码的速度。
根据Cloudsmith最新发布的《2025工件管理报告》,AI代码生成工具已成为开发流程的重要参与者。在使用AI编程的开发者中,有42%表示其一半以上的代码由AI生成,其中16.6%称大多数代码来自AI,3.6%甚至表示“全部由AI生成”。
这是一个令人震惊的数据,也揭示了一个令人不安的趋势:大量未经过充分审核的AI代码,正在直接进入生产环境。
“快速交付”的隐患
AI带来的效率提升无疑令人振奋,但Cloudsmith警告称,这种效率往往也意味着风险的倍增。
报告指出,AI模型虽然可以大幅提升生产力,却也可能“无意中推荐虚假或恶意依赖包”,如拼写钓鱼(typosquatting)和依赖混淆(dependency confusion)等开源攻击手法正在悄然扩散。
开发者对此并非毫无察觉:近八成(79.2%)开发者认为AI将加剧开源软件中的恶意软件威胁,其中30%更是认为风险将“显著上升”。仅有13%的开发者对AI在防御层面持乐观态度。
谁来审查海量AI代码?
在人工智能成为主力开发者的今天,代码审核机制却依然依赖人力。Cloudsmith报告披露,有三分之一的开发者并未对AI生成的代码进行部署前审核,这意味着大量未验证代码正被投入使用,对软件供应链构成巨大威胁。
尽管目前仍有超过六成开发者表示仅在人工审核后才信任AI生成代码,但当AI的代码产出比例持续攀升,这个比例是否还能维持,成为一大疑问。
Cloudsmith强调:“我们正处于一个关键拐点。”AI已经不再是开发过程中的辅助工具,而是软件堆栈的核心贡献者之一。但传统的信任模型、工具体系和审查流程,尚未为这场变革做好准备。
从“代码审查”到“信任系统”的变革
Cloudsmith呼吁开发组织构建更智能的工件管理系统:包括动态访问控制、端到端可视性、策略即代码(Policy-as-Code)机制等,从源头确保代码来源与依赖安全。
对于AI生成代码,Cloudsmith提出了三项关键对策:
-
自动化审核机制:识别未经审查或不可信的AI工件
-
可追溯性机制:区分人类和AI生成的代码,并保持溯源链清晰
-
嵌入式信任信号系统:让“是否审查过”成为强制流程,而非可选步骤
人类开发者何去何从?
2024年的GitHub调查显示,全球97%的开发者已在工作中使用过AI编程工具。这场AI主导的编程革命已经无法回头。随着AI的能力持续扩展,开发者的角色正从“代码生产者”向“代码编辑”转变。
但在这场进化中,我们必须警惕:速度不能以牺牲安全为代价。在未来,如何重构“信任”机制,将不再只是工程问题,而是一场关于技术治理的挑战。人工智能不是终点,而是另一场复杂系统构建的起点。
参考链接:
https://cloudsmith.ghost.io/ai-is-now-writing-code-at-scale-but-whos-checking-it/
END
原文始发于微信公众号(GoUpSec):三分之一的AI代码未经审核便进入生产环境
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论