企業利用AI編寫代碼所引發的安全風險日益凸顯,而許多組織尚未做好充分應對的準備。這是安全測試公司ProjectDiscovery於近日發布的一份報告中的核心發現。
報告指出,安全人員在將AI納入工作流程之前,需要完善的審計追蹤機制和嚴格的訪問權限管控。"他們並不排斥這項技術,但這項技術必須先證明自身的價值。"
這份報告揭示了當前企業AI變革中最為棘手的矛盾之一:藉助AI輔助編程的開發人員,與負責保護這些代碼安全的安全團隊之間,正面臨日益加劇的張力。
"大量AI生成的代碼正在湧向安全團隊,而這股浪潮的增速已經超出了大多數組織的承受能力,"ProjectDiscovery在報告中寫道,"工程團隊正以前所未有的速度交付產品,而安全團隊正處於這股浪潮的正面衝擊之下。"
調查結果顯示,在因AI導致代碼審查量大幅增加的背景下,僅有38%的網路安全從業者表示能夠較好地應對當前的工作量,近60%的受訪者認為這項工作的難度正在持續上升。與大型企業的同行相比,中型企業的安全人員感受到了更大的壓力,這或許反映出大型企業在安全資源投入方面具有更強的實力。
本報告基於對北美和西歐地區200名中大型企業網路安全專業人員的問卷調查。ProjectDiscovery表示,近半數受訪者從事安全架構
工作,超過半數在"安全產品的遴選或審批"環節中扮演重要角色。
在AI輔助編程引發的安全隱患方面,受訪者普遍擔憂多個方面:企業機密數據泄露(78%的受訪者將其列為首要隱患)、因不可靠依賴項引發的供應鏈安全風險(73%),以及"業務邏輯漏洞"(72%)——即應用程序設計缺陷可能使黑客得以濫用合法功能。
在探討機密數據泄露問題時,ProjectDiscovery援引了2025年美國國家網路安全聯盟發布的一份報告。該報告顯示,43%的員工承認曾將公司敏感數據輸入AI工具。
在機密數據泄露的關注程度上,歐洲受訪者明顯高於美國同行(87%對72%),這一差異或與歐盟《通用數據保護條例》(GDPR)對數據隱私的嚴格要求密切相關。
Q&A
Q1:AI生成的代碼為什麼會給安全團隊帶來麻煩?
A:AI輔助編程大幅加快了代碼交付速度,但安全團隊的審查能力卻未能同步跟上。報告顯示,僅38%的網路安全從業者表示能較好應對激增的代碼審查量,近60%的人認為難度在持續上升。AI生成的代碼可能存在企業機密泄露、供應鏈依賴風險以及業務邏輯漏洞等多種安全隱患,這些問題疊加在一起,給安全團隊帶來了巨大的工作壓力。
Q2:使用AI編寫代碼會面臨哪些具體的安全風險?
A:根據ProjectDiscovery的報告,主要風險涵蓋三類:一是企業機密數據泄露(78%受訪者關注),即員工在使用AI工具時可能無意間輸入敏感資訊;二是供應鏈安全風險(73%),源於AI生成代碼中可能引用不可靠的依賴項;三是業務邏輯漏洞(72%),即應用設計層面的缺陷可能被黑客利用來濫用系統的合法功能。
Q3:歐洲和美國的安全從業者對AI代碼安全的擔憂有什麼不同?
A:在機密數據泄露這一問題上,歐洲受訪者的擔憂程度明顯高於美國同行,比例分別為87%和72%。這一差異可能與歐盟《通用數據保護條例》(GDPR)對數據隱私的嚴格監管要求有關,使得歐洲安全從業者對AI工具可能導致的數據合規風險更為敏感。
