AI代码生成速度过快，传统安全审查模式难以为继

快速阅读: 布赖恩·萨西亚南丹讨论了AI代码生成速度远超传统开发流程的问题，提出需将安全性检查嵌入生成过程，采用并行验证方法，以解决速度提升带来的安全性和质量挑战。

本文由布赖恩·萨西亚南丹撰写，他是Iterate.ai的首席技术官兼联合创始人，该公司的人工智能创新生态系统使企业能够构建生产就绪的应用程序。此前，萨西亚南丹曾在苹果公司工作，参与了多项新兴技术项目，包括Mac操作系统和首款iPhone的开发。萨西亚南丹全文如下：

传统的代码审查流程是为人类速度的开发设计的。那么，当人工智能工作流在短短一小时内生成的代码量超过开发团队过去一个月的工作量时，会发生什么？

从每天几百行代码到每分钟数万行的转变不仅仅是速度的提升，它还带来了软件开发性质的根本变化，打破了传统的安全性和质量保证模型。然而，大多数团队仍然将人工智能编码工具视为“智能自动完成”，而没有认识到人工智能速度开发带来的架构影响。

速度危机

当开发速度提高100倍时，漏洞不仅会增加，还会在系统中迅速扩散，直到人类监督成为可能。单个以人工智能速度生成的缺陷可以在几分钟内波及整个架构，创建供应链漏洞并扩展攻击面，传统安全流程无法及时检测或控制这些变化。

考虑一个典型的企业场景：一个人工智能工作流在不到十分钟的时间内生成了一个完整的微服务，包括数据库集成、API端点和认证逻辑。传统的代码审查过程可能需要几天甚至几周时间来彻底检查这样的输出（而竞争激烈的市场现在很少允许这么长的时间）。面对这一不可能的差距，团队往往完全绕过全面的安全验证，以维持竞争速度。

传统模型的崩溃

静态代码分析、安全审查和架构验证过程是为人类节奏的开发周期设计的。这些工作流程通常假设代码生成是瓶颈，而不是审查和验证。

问题如预期的那样，在企业规模上变得更加复杂。复杂的代码库需要理解架构模式、业务逻辑约束和跨越多个仓库和团队的集成要求。传统的人工智能编码工具在会话之间丢失这种上下文，导致在缺乏对更广泛系统影响理解的情况下做出架构决策。

实时安全作为设计原则

解决方案不是减慢人工智能生成的代码速度（显然，这不会发生）。相反，目标应该是设计同样以人工智能速度运行的代码验证过程。这需要将安全性和合规性检查直接嵌入生成工作流，而不是将其作为生成后的步骤处理。

在最近构建AgentOne的过程中，我们发现实时验证需要我们所称的群体智能架构，其中专门的代理同时处理不同的验证方面。当一个代理生成代码时，其他代理同时运行OWASP合规性检查、内存泄漏和注入漏洞的静态分析以及对企业标准的架构验证。

这种并行方法从根本上改变了安全开发的经济性。安全验证不再是瓶颈，而是成为生成过程本身的一部分。代码生成得越快，平行验证就越全面。

然而，即使实时验证也面临着一个更深层次的挑战，威胁着整个人工智能工作流范式。

上下文问题的引入

大多数人工智能工作流平台在处理复杂企业项目时难以保持上下文的一致性。它们可能擅长独立任务，但在保持对更广泛的架构模式、编码标准和定义企业软件质量的业务逻辑约束的了解方面存在困难。

在企业规模上，这种上下文损失成为一个安全漏洞。人工智能工具在不了解系统范围影响的情况下进行更改，可能会引入在特定负载条件下才会显现的微妙错误，或造成损害数据完整性的集成失败。

先进的AI工作流架构通过扩展上下文窗口来解决这个问题，该窗口可以保持对多达200万个标记的项目上下文的意识，而不仅仅是典型的几千个。这使得人工智能系统不仅能够理解即时的代码需求，还能理解每次更改的更广泛的架构影响。

协调合作模式

人工智能工作流的未来超越了简单的审查和批准界面，转向了协调合作，多个专业代理并行工作。这些系统协调生成、验证、测试和文档的过程，而不是先生成代码再进行验证。

这种编排模型反映了有经验的开发团队自然的工作方式（多个专家并行贡献专长，而非顺序交接）。不同之处在于，AI 工作流能够以前所未有的速度和规模协调这种并行处理。关键在于，AI 工作流的速度不仅体现在更快的代码生成上，还在于能够在保持质量和安全标准的同时，压缩整个开发周期，而这些标准传统上需要更长的时间框架。

对企业架构的影响

采用新 AI 工作流的团队需要重新思考关于开发流程的基本假设。传统的先生成后验证模式必须演变为并行处理的编排，其中验证过程与生成过程同步进行。

这一转变要求新的工具架构、修订的安全政策以及能够有效与高速运行的 AI 系统协作的团队结构。成功完成这一转型的组织将既能获得 AI 工作流的速度优势，又能满足企业软件所需的安全标准。

(以上内容均由Ai生成)