根据Venafi的调查,92%的安全领导者对其企业内使用AI生成的代码表示担忧。
安全团队与开发团队之间的紧张关系
83%的安全领导者表示,他们的开发人员目前使用AI生成代码,其中57%称这种做法已成为常态,然而,72%的人认为,他们别无选择,只能允许开发人员使用AI来保持竞争力,而63%的人则由于安全风险,曾考虑禁止在编码中使用AI。
66%的受访者表示,安全团队无法跟上由AI驱动的开发人员的步伐。结果,安全领导者感到他们正在失去控制,企业正因此面临风险。78%的人相信AI生成的代码将导致安全危机,59%的人因AI的安全隐患而夜不能寐。
63%的安全领导者认为,在企业内无法有效管理AI的安全使用,因为他们无法清晰了解AI的具体使用位置。尽管存在这些担忧,47%的公司已经制定了确保在开发环境中安全使用AI的政策。
Venafi的首席创新官Kevin Bocek表示:“安全团队陷入了两难境地,处在一个由AI编写代码的新时代。开发人员已经通过AI得到极大增强,他们不会放弃这种‘超能力’。同时,攻击者正在渗透我们的队伍——最近在开源项目中的长期干预,以及朝鲜对IT领域的渗透,仅仅是冰山一角。”
Bocek补充道:“如今任何拥有大型语言模型(LLM)的人都可以编写代码,这打开了一个全新的战线。代码才是关键,不管是你们的开发人员使用AI超速编写的代码,还是外部代理渗透的代码,或者是某位财务人员使用从谁都不清楚的训练数据生成的LLM代码。因此,代码至关重要!我们必须验证代码的来源。”
安全领导者对AI生成代码的主要担忧
当谈到开发人员使用AI编写或生成代码时,安全领导者提出了三大主要担忧:
1. 开发人员可能过度依赖AI,导致标准下降
2. AI编写的代码不会被有效地进行质量检查
3. AI可能会使用过时且维护不善的开源库
研究还指出,AI使用开源不仅给安全团队带来了挑战:
开源的过度使用:
安全领导者估计,平均61%的应用程序使用开源代码。这种对开源的过度依赖可能带来潜在风险,因为86%的受访者认为,开源代码在开发者中更注重速度,而非安全最佳实践。
令人困扰的验证问题:
90%的安全领导者信任开源库中的代码,其中43%表示完全信任,然而,75%的人认为不可能验证每一行开源代码的安全性。因此,92%的安全领导者认为,应该使用代码签名来确保开源代码的可信性。
Venafi的首席创新官Kevin Bocek补充道:“最近的CrowdStrike宕机事件显示了代码从开发者迅速传播到全球危机的影响。如今,代码可以来自任何地方,包括AI和外部代理。未来只会有更多的代码来源,而不是更少。基于身份验证代码、应用程序和工作负载,确保它们没有被修改且被批准使用,是我们今天和未来最好的选择。我们应该把CrowdStrike宕机事件视为未来挑战的完美例子,而不是偶然的个例。”
维护代码签名的信任链可以帮助企业防止未经授权的代码执行,同时也能扩大操作规模,以跟上开发人员使用AI和开源技术的步伐。
Bocek总结道:“在一个AI和开源既强大又不可预测的世界里,代码签名成为企业的基础防线,但要让这种防护生效,代码签名过程必须既强大又安全,这不仅仅是阻止恶意代码的问题——企业需要确保每一行代码都来自可信的来源,并验证数字签名,确保自签名以来没有任何篡改。好消息是,代码签名几乎无处不在——坏消息是,它往往没有得到安全团队的充分保护,而这些团队本可以帮助确保其安全性。”