AI代码生成速度过快，传统安全审查难跟上

快速阅读: 布赖恩·萨西安塔汉探讨AI代码生成速度远超人类，带来安全性和质量保证挑战。需将安全验证嵌入生成流程，采用并行处理和上下文保持技术应对。

布赖恩·萨西安塔汉是Iterate.ai的首席技术官兼联合创始人，该公司的人工智能创新生态系统使企业能够构建生产就绪的应用程序。此前，萨西安塔汉曾在苹果公司参与多个新兴技术项目，包括Mac操作系统和首款iPhone的开发。以下是他撰写的文章：

传统的代码审查流程是为人类速度的开发设计的。那么，当人工智能工作流在一小时内生成的代码量超过开发团队过去一个月的工作量时，会发生什么？

从每天几百行到每分钟数万行的转变不仅仅是速度的提升，更是软件开发本质上的重大变革，这打破了传统的安全性和质量保证模型。然而，大多数团队仍然将人工智能编码工具视为“智能自动完成”，而没有认识到人工智能速度开发带来的架构影响。

速度危机

当开发速度提高100倍时，漏洞不仅会增加，还会在系统中迅速扩散，直到人类监督成为可能。一个以人工智能速度产生的单一缺陷可以在几分钟内波及整个架构，造成供应链漏洞，扩大攻击面，而传统安全过程无法及时检测或控制。

考虑一个典型的企业场景：一个人工智能工作流在不到十分钟的时间内生成了一个完整的微服务，包括数据库集成、API端点和身份验证逻辑。传统的代码审查过程可能需要几天甚至几周才能彻底检查这样的输出（而在竞争激烈的市场中，时间已经不允许这样做）。面对这一不可能的差距，团队往往绕过全面的安全验证，以维持竞争速度。

传统模型的失效

静态代码分析、安全审查和架构验证流程是为人类速度的开发周期设计的。这些工作流通常假设代码生成是瓶颈，而不是审查和验证。

正如你所料，问题在企业规模上更加复杂。复杂的代码库需要理解架构模式、业务逻辑约束和跨越多个仓库和团队的集成需求。传统的人工智能编码工具在会话之间丢失了这种上下文，导致在不了解更广泛系统影响的情况下做出架构决策。

实时安全作为设计原则

解决方法不是减慢人工智能生成的代码（显然，这是不可能的）。而是应该重新设计代码验证流程，使其同样以人工智能的速度运行。这需要将安全性和合规性检查直接嵌入生成工作流中，而不是将其作为生成后的步骤。

在最近构建AgentOne的过程中，我们发现实时验证需要所谓的群体智能架构，其中专门的代理同时处理不同的验证方面。当一个代理生成代码时，其他代理并行运行OWASP合规性检查、内存泄漏和注入漏洞的静态分析以及针对企业标准的架构验证。

这种并行方法从根本上改变了安全开发的经济性。安全性验证不再是瓶颈，而是成为生成过程的一部分。代码生成得越快，平行验证就越全面。

然而，即使实时验证也面临着一个更深层次的问题，威胁着整个人工智能工作流范式。

进入上下文问题

大多数人工智能工作流平台在处理复杂的项目时难以保持上下文的一致性。它们可能擅长独立的任务，但在维护广泛的架构模式、编码标准和定义企业软件质量的业务逻辑约束方面却力不从心。

在企业规模上，这种上下文损失成为一个安全漏洞。人工智能工具在不了解系统范围影响的情况下进行更改，可能会引入只有在特定负载条件下才会显现的微妙错误，或者造成损害数据完整性的集成失败。

先进的AI工作流架构通过扩展上下文窗口来解决这个问题，该窗口可以保持高达200万个标记的项目上下文，而不仅仅是典型的几千个。这使得人工智能系统不仅能理解即时的代码需求，还能理解每次变更的广泛架构影响。

协调协作模式

未来的人工智能工作流将超越简单的审查和批准界面，转向协调协作，其中多个专业的代理同时工作。这些系统协调生成、验证、测试和文档的过程，而不是先生成代码再进行验证。

这种编排模型反映了有经验的开发团队自然的工作方式（多个专家并行贡献专业技能，而不是依次交接）。不同之处在于，AI 工作流能够以前所未有的速度和规模协调这种并行处理。关键在于，AI 工作流的速度不仅体现在更快的代码生成上，还在于压缩整个开发周期的同时，保持了传统上需要更长时间才能达到的质量和安全标准。

对企业架构的影响

采用新 AI 工作流的团队需要重新思考关于开发流程的基本假设。传统的生成-验证模式必须演变为并行处理的编排，其中验证过程与生成过程同步进行。

这一转变要求新的工具架构、修订的安全政策及更新的团队结构，以有效配合以这些速度运行的 AI 系统。成功完成这一转型的组织将既能实现 AI 工作流的速度优势，又能满足企业软件所需的安全标准。

(以上内容均由Ai生成)