使用人工智能进行编程正在企业开发站点中迅速普及。虽然 Coinbase 和花旗等大公司正在强制采用人工智能,但最新研究表明,虽然生产力将提高四倍,但漏洞存在增加十倍的严重风险。
在这篇文章中,我们将以通俗易懂的方式解释AI编码带来的好处和风险、背后的背景以及未来的对策。
内容
利用人工智能的编程正在全球范围内迅速扩张,尤其是金融和科技公司加紧努力,使其成为“必需”。其背景是提高生产力和应对人力资源短缺,而管理层的决策对工作场所有直接影响。
CEO 希望人工智能成为必需品的原因
近年来,人工智能编码助手不再仅仅被定位为辅助工具,而是决定企业竞争力的基础。
Coinbase 首席执行官布莱恩·阿姆斯特朗 (Brian Armstrong) 因要求所有工程师使用人工智能并解雇不遵守规定的员工而成为头条新闻。 Lemonade 和花旗也同样采取了“人工智能不是可选的,而是必需的”的政策。
这背后是对人工智能引入将显着加快发展的预期。随着人力资源短缺的日益严重,提高效率、降低成本成为管理的主题。通过让首席执行官本人传达强烈的信息,目的是确保其在工作场所得到彻底实施。
- 开发速度显着提升
- 应对和补充人力资源短缺
- 与竞争对手的差异化
- 降低成本并加快上市时间
这样看来,CEO自上而下引入人工智能的方式也体现了一种危机感:“如果我们错过了提高效率的机会,我们就会在市场竞争中落后。”
实施该系统的公司的共同目标和预期效果
需要人工智能编码的公司的共同点是他们都追求效率和可扩展性。我们的希望不仅仅是增加代码量,而是用更少的资源做更多的事情。此外,通过提高开发速度,服务部署和市场响应的灵活性也将增加。
实施公司的目标可概括如下。
| 目标 | 具体效果 |
|---|---|
| 效率 | 代码生成速度提高4倍,减少开发时间。 |
| 降低成本 | 最大限度地提高现有团队的成果,而无需依赖外包或额外人员 |
| 加快上市时间 | 能够比竞争对手更快地发布服务和功能 |
| 解决人力资源短缺问题 | 即使工程师数量有限也能实现高产出 |
所有这些目标都与管理问题直接相关,也是引入人工智能不可避免的原因。然而,随后的研究表明,这种效率提升的背后潜藏着严重的风险。
调查显示“速度加快 4 倍”,“脆弱性增加 10 倍”
阿皮罗调查展示了一个重大的权衡:引入人工智能编码使开发效率提高了 4 倍,但漏洞却增加了 10 倍。这不仅仅是暂时的趋势,而是基于数万个存储库和数千人的分析得出的数据。
代码生产力如何翻两番
研究发现,使用 AI 的开发人员生成的代码是非用户的 3 到 4 倍。原因之一是人工智能可以自动执行简单的描述和例行处理,使工程师能够专注于更高级的实施。
然而,与此同时,生成的代码越来越倾向于捆绑成巨大的 PR(拉取请求)。
传统上,审查每个小更改是很常见的,但对于人工智能生成的代码,审查负载会迅速增加,因为它会同时影响许多文件和服务。因此,重要的缺陷更有可能被忽视。
| 传统开发流程 | 引入AI后的流程 |
|---|---|
| 为每个小变化创建一个 PR | 跨越多种服务的大规模公关正在增加。 |
| 审稿负担相对较轻 | 审查范围巨大,重要缺陷很容易被忽视。 |
| 变更范围有限 | 一次改变就能产生深远的影响 |
速度在提高的同时,审核体系和验证手段却跟不上现有方法,导致风险加大。
为什么安全漏洞增加 10 倍
Apiiro 分析证实,人工智能实施后,漏洞数量增加了 10 倍。此外,问题不仅限于单一类型,还包括从权限升级到设计缺陷再到云凭据泄露等。
使用传统的静态分析工具和测试通常很难检测到它们,并且给企业带来严重风险。漏洞增加的主要趋势如下。
- 权限提升:增加 322%。攻击者获得未经授权的管理权限的风险。
- 设计缺陷:增加 153%。这会在身份验证流程和整个系统中造成漏洞。
- 云凭证泄露:是非用户的两倍。 Azure 或 AWS 密钥泄露会立即导致基础设施受损。
- 依赖风险:各种漏洞通过开源库和配置文件传播。
这些漏洞不仅仅是错误修复;它们是直接影响公司信任和服务连续性的严重问题。随着人工智能采用的加速,安全团队的工作量也在迅速增加。
人工智能编码的好处和严重的权衡
虽然人工智能编码减少了小错误,但它增加了结构缺陷和安全风险。这种效率提高的同时风险也增加的“权衡结构”是其最大的特点。
减少小错误的好处
随着人工智能编码的引入,语法错误和简单逻辑错误已显着减少。
Apiiro 的研究表明,语法错误减少了 76%,逻辑错误减少了 60%,使开发人员摆脱了小修复的负担。这对于提高开发效率来说是一个明显的优势。
通过减少小错误的数量,工程师可以将资源分配给更高级别的设计和新功能开发。特别是对于初创公司和小型开发团队来说,这是一个很大的优势,因为它可以让您更好地利用有限的时间和人力资源。
| 有何改进? | 具体效果 |
|---|---|
| 减少语法错误 | AI 补偿简单的写入错误并减少调试时间 |
| 减少逻辑错误 | 减少典型的处理遗漏和错误 |
| 减少工时 | 减少人工校正工作并实现高效发布 |
然而,这种表面上的改进只是“解决了可见的小问题”,接下来的一点将揭示更严重的风险潜伏着。
“少点错别字,多点炸弹”的精髓
人工智能编码的最大问题在于,它不但没有减少小错误,反而增加了“动摇整个系统的缺陷”的数量。权限升级或身份验证流程中的缺陷等设计错误很难通过简单的测试或扫描来检测,并且可能使服务的基础面临风险。
事实上,研究表明,AI 代码生成使权限升级增加了 322%,设计缺陷增加了 153%。这些就像“随着时间的推移而展开的炸弹”,虽然它们在短期内可能很微妙,但从长远来看可能会造成重大损害。
- 云凭证泄露 → 即时访问基础设施
- 系统设计缺陷 → 为攻击者提供漏洞
- 审查过载 → 人工检查难以检测
换句话说,人工智能同时带来了“表面质量的提高”和“深度脆弱性的增加”。如果我们一味地注重提高发展速度,最终可能会埋下一颗隐形炸弹。
AI编码时代所需的安全策略
由于效率和风险齐头并进,公司需要一个专注于人工智能代码的安全策略,而不是传统的审查系统。尤其是AI AppSec(使用AI的应用程序安全)的引入已成为不可避免的问题。
为什么引入 AI AppSec 至关重要
人工智能生成的代码的一个特点是,它经常包含“设计级漏洞”,这些漏洞很容易被传统的静态分析或简单的审查所忽视。
例如,使用传统的类似清单的测试很难检测到权限升级和云身份验证密钥的泄漏。因此,人工智能代码必须与同样利用人工智能的安全措施相结合。
Apiiro 提出的 AI AppSec 根据上下文分析生成的代码,并从设计阶段识别风险。这使得我们能够进化到一种“与生成同时进行防护”的形式,而不是传统的“稍后发现并修复”的方法。
- 自动修复:根据代码生成的上下文自动修复检测到的漏洞
- 自治政府:实时执行公司特定的安全策略
- 自动管理:从风险发生到解决的生命周期统一管理
像这样基于人工智能的安全功能的引入将使得速度和安全性的兼顾成为可能。
企业应考虑的措施清单
采用人工智能编码的公司需要从效率提升中受益,同时还需要改善风险管理。具体措施包括以下几项。
| 对策 | 具体内容 |
|---|---|
| 人工智能代码审查 | 仔细检查人类和人工智能生成的人工智能代码,以便及早发现设计缺陷。 |
| 增强的权限管理 | 最小化访问权限并主动防范权限升级风险 |
| 云端认证管理 | 引入认证密钥加密存储和泄漏检测系统 |
| 安全教育 | 定期对开发者进行AI使用风险及对策教育 |
| AI AppSec导入 | 通过自动修正和实时策略应用同时降低风险 |
通过系统地实施这些,您可以最大限度地降低风险,同时享受人工智能编码的效率。它将成为一个如此重要的投资领域,以至于公司没有理由不引入它。
AI编码对日本企业的影响及未来关注点
AI编码的传播肯定不仅会传播到海外,还会传播到日本企业的开发现场。虽然企业可以从效率的提高中受益,但他们应对安全风险的能力将决定他们未来的竞争力。
首先需要注意的是,许多日本公司都面临着工程师长期短缺的问题。 AI编码可以实现少量人员的大规模开发,是提高服务提供速度的有力手段。
但与此同时,风险的规模也在不断增大,而现实情况是,安全部门不健全的企业更容易受到损害。
尤其是在金融、医疗、公共基础设施等可靠性要求较高的行业,是否引入AI直接关系到服务本身的安全性。
在日本,实施这项服务的公司也将被要求实施更严格的风险管理,因为云认证信息的泄露和系统设计的缺陷可能会导致严重事故。
下一步需要关注的要点如下。
- 日本企业加速引入人工智能编码的趋势
- 政府和行业团体制定安全准则的可能性
- 扩大包括 AI AppSec 在内的安全解决方案市场
- 通过教育和培训提高开发人员素养
简而言之,AI编码不是“引入就能提高效率的神器”,而是“同时提高效率和风险的双重技术”。人工智能带来的未来将发生巨大变化,取决于日本企业如何应对。
这不仅仅是推出产品的竞争,而是如何在控制风险的同时实现成果最大化的竞争。这种态度是我们今后要重点关注的。
关于我