AI代码致五分之一安全漏洞，但业界仍看好其未来

快速阅读: AI编码工具在生产环境中引发重大安全事件，五分之一CISO受影响。Aikido报告称，24%的生产代码由AI编写，欧美分别占29%和21%，69%的安全专家发现严重漏洞。美国受影响更甚，43%组织报告严重事件，欧洲仅20%。增加安全工具未见成效，反而增加成本和修复难度。全功能AI工具可减少事件，但责任归属成争议焦点。企业仍看好AI编码未来，96%受访者认为AI能编写安全代码，但需人类监督。

AI编码工具正在生产环境中制造严重的安全风险，五分之一的首席信息安全官表示，他们遭遇了因AI生成代码引发的重大事件。据Aikido的一项新报告显示，目前AI编码工具编写了24%的生产代码——欧洲占比21%，美国占比29%。然而，这种做法存在风险，69%的安全领导者、安全工程师和开发人员在欧美两地都发现AI编写的代码中存在严重漏洞。

美国的受访者受到AI相关缺陷的影响尤为严重，43%的组织报告了严重事件，而欧洲仅为20%。研究指出，这可能是由于更好的预防和监督措施所致。例如，欧盟的公司报告的AI生成代码的“险情”比美国同行多，可能反映出更严格的测试实践。

增加更多工具来解决这一问题并未见成效，Aikido发现，拥有更多安全工具的组织反而报告了更多的事件，导致更高的管理成本和更慢的修复速度。只有不到三分之一（64%）使用一到两种工具的组织发生了事件，而那些使用六到九种工具的组织中，这一比例高达90%。

全功能AI编码工具有助于弥补差距。值得注意的是，同时为开发人员和安全团队设计的工具使用者报告零事件的可能性是仅针对某一特定群体工具用户的两倍以上。

使用独立的应用安全和云安全工具的团队发生事件的可能性高出50%，93%的此类工具使用者报告了集成难题，如重复警报或数据不一致。

关于由AI代码引起的事件的责任归属，现在成为了企业内部的一个严重争议点。报告指出，53%的受访者指责安全团队未能解决问题，45%的人认为开发人员在推送生产环境前未能发现这些问题。同时，42%的人指向了合并代码的人。Aikido预计，这场责任推诿游戏将继续升级。一半的开发者认为，如果他们编写的AI代码引入了漏洞，即使比安全团队还要多，也会被归咎于自己。

尽管各方都有担忧，但企业预计将继续推进AI编码工具的采用。研究指出，十分之九的企业预计AI将在未来五年内接管渗透测试。此外，96%的受访者相信AI最终能够编写出安全可靠的代码，其中44%的人认为这一目标将在三到五年内实现。然而，只有21%的人认为这可以在没有人类监督的情况下实现，突显了保持人类参与的重要性。

关注ITPro在Google新闻上的更新，以跟踪我们最新的新闻、分析和评论。

(以上内容均由Ai生成)