CrowdStrike Research：使用多个自学习 AI 代理保护 AI 生成的代码

快速阅读: 据《众攻》最新报道，CrowdStrike研发多代理AI系统，用于识别和修复AI生成代码中的漏洞，以应对自动化编码带来的安全挑战。该系统包含漏洞扫描、红队及修补代理，能主动检测并自动修复漏洞，确保软件安全。

CrowdStrike 的数据科学家正在开展一项研究，旨在开发创新的新型自我学习、多代理人工智能系统，这些系统采用红队能力。这项新方法在2025年NVIDIA GTC 大会上提出，旨在减少由AI代理开发代码中即将出现的大量漏洞。虽然仍处于概念验证阶段，但我们的研究具有重要意义，是防止未修补漏洞成为更大网络安全问题的必要步骤。在自动化软件开发中应用强大的安全措施不再是奢侈品，而是必需品。

CrowdStrike 的数据科学家已经开发出一种基于人工智能的多代理概念验证，利用红队能力识别由AI代理开发的代码中的漏洞。尽管目前仍处于研究阶段，但我们的工作表明，这种先进的AI技术有望彻底改变软件安全。在我们新颖的自我学习多代理人工智能系统（MAS）中，每个代理执行各种安全角色，并协同工作以强化彼此的知识与行动。我们采用主动漏洞检测和自动利用来保护自主代码生成过程。

我们的研究团队确定，采用多代理方法能够在潜在漏洞被对手利用前识别它们，确保软件系统的完整性，并让开发者专注于最重要的事情：创造创新且安全的软件解决方案。随着由AI代理开发的代码变得日益普遍，CrowdStrike 数据科学家在NVIDIA GTC 2025大会上的自我学习MAS可能是防止大量未修补漏洞和由此引发的网络安全挑战的关键。

编码的未来带来新的网络安全挑战

在软件开发领域，自主代码生成代理是一项变革者。通过自动化复杂编码任务，这些代理让开发者专注于高质量内容。他们不再受限于那些耗尽创造力的琐碎、耗时的过程。在“氛围编码”的方法下——这是由OpenAI联合创始人安德鲁·卡帕西（Andrej Karpathy）推广的概念——大型语言模型（LLMs）承担了大部分编码工作。无需编程经验或技术知识——用户只需在文本框中输入他们试图完成的任务提示，然后让AI工具输出一个原型应用程序即可。

“氛围编码”吸引了越来越多的人，因为它激发他们的创造力，投入热情去构建创新应用。结果？大量的新软件系统，但也伴随着大量的风险。长期以来，漏洞一直是网络安全行业的关注点。漏洞发现与修复之间的差距使组织面临相当大的被利用风险。鉴于自主代码开发的速度迅速，这一差距可能会进一步扩大。随着行业转向自动化代码生成和审查，保护AI代理开发的代码已成为关键的安全挑战。

虽然人类软件测试员和工具可以验证代码安全性，但动态代码生成的规模和速度构成了一大障碍。这就像追赶高速子弹一样——这是一个艰巨的任务，需要智能解决方案来自动化和增强安全流程。在这个自主代码生成成为常态的新环境中，对可扩展的智能解决方案的需求比以往任何时候都更加迫切。我们需要既能自动化安全流程又能预见和适应新兴威胁的系统。在软件开发生命周期的初期就利用人工智能的力量，确保安全成为预发布流程的一部分。

随着行业转向自动化代码生成和审查，保护AI代理开发的代码已成为关键的安全挑战。虽然人类软件测试员和工具可以验证代码安全性，但动态代码生成的规模和速度构成了一大障碍。这就像追赶高速子弹一样——这是一个艰巨的任务，需要智能解决方案来自动化和增强安全流程。

用人工智能代理演进代码安全的艺术

在这个“氛围编码”和人工智能增强代码生成的自动化行业中，我们启动了一个全面的测试制度，用于一种先进的基于人工智能的系统，旨在严格遵守安全软件开发实践。这个自主代理体系利用最新的威胁检测能力识别代码库中的漏洞，从而提供针对广泛安全威胁的增强保护，包括未经授权的访问、后门插入、漏洞利用和其他恶意活动。

我们的概念验证至少包含三个代理人工智能系统，每个系统都建立在各种安全角色之上，这些角色协同工作以加强彼此的知识与行动。这些系统包括：

漏洞扫描代理：能够识别代码漏洞，并了解哪种静态应用安全测试最适合每个应用。

红队代理：使用内部知识和历史漏洞利用数据库中的信息构建利用脚本。该代理从前几轮迭代中学习，将特定漏洞和利用代码的组合与最佳结果联系起来。

修补代理：依据漏洞AI代理的输入、单元测试的综合反馈结果以及红队AI代理驱动的利用结果，负责生成安全单元测试并生成代码补丁。

(以上内容均由Ai生成)