人工智能编程副驾驶正在加重代码安全性并泄漏了更多秘密

启用副铜的存储库包含API键，密码或令牌的可能性要高40％ - 安全负责人必须以AI生成的代码增殖来解决。

AI编码助手是生成AI业务革命的早期成功故事之一。越来越多地采用的编程副驾驶正在进化开发过程，提高开发人员的生产力并帮助迅速站立基本的项目。

但是，他们也是一个安全问题，他们很快将制定的预期代码量是为安全领导者做一个噩梦。

加上对AI Gen幻觉的通常讨论，以AI生成的代码中的API密钥，密码和令牌等秘密（例如API键，密码和令牌）的可能性增加。 -  

根据Gitguardian最近的一项研究，与标准存储库相比，Github副副库的软件存储库更有可能暴露于秘密，其中6.4％的采样存储库中包含API键，密码或代币与所有重新示范秘密的4.6％相比，有4.6％的盗窃风险。

Gitguardian研究人员说，这意味着秘密泄漏的事件率高40％，警告说，使用编码助手可能会推动开发人员优先考虑生产率而不是代码质量和安全性，并补充说，大型语言模型（LLMS）生成的代码本质上可能比常规书面的软件更安全。

基本缺陷床床ai驱动的软件开发

安全专家询问了CSO，同意使用AI编码助理的使用导致较不安全的代码和其他安全风险。

应用程序安全供应商Black Duck的副首席顾问David Benas表示，这些安全问题是培训AI模型的人类生成法规的自然结果。

Benas说：'Benas说，越早愿意像实习生一样对待他们的代码生成的LLM，或者在推销代码的初级工程师中越好。”``LLMS背后的基本模型本质上都会像人类代码语料库的总和一样有缺陷，由于它们倾向于幻觉，讲述谎言，误解查询，过程缺陷的查询等，因此在顶部撒上了多余的缺陷。

虽然AI编码助手（例如Github Copilot提高开发人员速度），他们也引入了新的安全风险，EMEA首席技术官John Smith告诉CSO。

史密斯说：`史密斯说，这些工具通常缺乏对安全实践的上下文认识，而如果没有适当的监督，就会产生不安全的代码和持续的脆弱性。”``这成为一个系统的问题，因为LLM生成的代码扩散并在整个供应链中造成缺陷，现在有70％以上的关键安全债务来自第三方代码。”Veracode的最新报告。

忽略的安全控制

赛伯拉克实验室的安全研究人员马克·切普（Mark Cherp）说，AI编码助手通常无法遵守传统系统中通常观察到的强大秘密管理实践。

Cherp说，例如，他们可以在源代码或配置文件中插入敏感信息。”此外，由于为早期产品生成了大部分代码，因此经常忽略诸如使用秘密经理或实施实时密码和代币注入之类的最佳实践。”

Cherp补充说：``在某些实例中，来自拟人化或OpenAI等公司的API密钥或公共钥匙被无意中留在源代码中或在开源项目中上传，从而轻松利用它们。即使在封闭式项目中，如果秘密是对二进制文件或本地JavaScript中的纯文本进行了硬编码或存储的，那么风险仍然很大，因为秘密很容易提取。

建立安全的AI辅助发展实践

网络安全培训公司Immersive Labs的主要应用安全中小企业克里斯·伍德（Chris Wood

虽然AI为提高生产率提供了令人难以置信的潜力，但要记住，这些工具只与培训数据和开发商保持警惕一样安全，”伍德说。

CISO和安全领导者需要将全面的秘密管理策略作为第一步。此外，企业应制定围绕使用AI编码助理的明确政策，并为开发人员提供针对的特定培训确保AI辅助开发实践。

伍德说，即使AI协助制定代码，我们也必须为开发人员提供知识和技能，以识别和防止这些类型的漏洞。”``这包括在安全编码原则中的坚实基础，了解常见的秘密泄漏模式以及知道如何正确管理和存储敏感的凭证。”

伍德总结说，通过赋予开发人员的能力，并促进了安全优先的思维方式，我们可以利用AI的好处，同时减轻诸如Secret Leakage之类的安全漏洞的潜力。”

积极的对策

生产的LLM代码越多，开发人员就会越多地信任它，进一步加剧了问题并创建一个需要在芽中忽略的恶性循环。

VeraCode的史密斯警告说，如果没有适当的安全测试，就不必要的AI生成的代码将成为未来LLM的培训数据。”``从根本上讲，软件的构建方式正在迅速变化，对AI的信任不应以牺牲安全为代价。”

除非企业采取主动步骤来解决问题，而不是试图依靠反应性修复程序，否则AI的开发将继续超过安全控制。

史密斯建议，CISO必须快速移动到嵌入安全护栏，自动化安全检查和手动代码审查直接到代理和开发人员工作流程中。”审计第三方库确保AI生成的代码不会引入未验证的组件中的漏洞。”

将自动化工具（例如秘密扫描仪）集成到CI/CD管道中，然后进行强制性的人类开发人员审查，应用于使用AI编码助手开发的软件。

建议迅速的事件响应计划，以解决任何发现的漏洞，应持续监控和消毒。”

企业继续与凭证管理斗争

API键，密码和令牌的凭证管理是一个应用程序安全方面的悠久问题AI驱动的代码开发中的最新创新是更复杂的，而不是创造。

Gitguardian的秘密状态蔓延2025报告显示，同比泄漏的秘密增加了25％，仅2024年在公共Github上发现了2380万个新证书。

Gitguardian表示，硬编码的秘密无处不在，但尤其是在安全盲点中，例如协作平台（Slack和Jira）以及安全控制通常较弱的容器环境。

尽管Github的推动保护帮助开发人员检测到已知的秘密模式，但通用秘密包括硬编码密码，数据库凭据和自定义身份验证令牌，现在代表了所有检测到的泄漏的一半以上。这是因为与遵循可识别模式的API键或OAuth代币不同，这些证书缺乏标准的模式，因此几乎无法使用常规工具检测到它们，Gitguardian警告。

Gitguardian突出显示2024年美国财政部违规作为警告：根据Gitguardian首席执行官Eric Fourier的说法，从超越信任中泄漏了一个泄漏的API密钥，允许攻击者渗透到政府系统中。这不是一个复杂的攻击 - 这是一个简单的案例，即揭示了数百万的安全投资。

该研究还发现，即使在第一次接触两年后，有70％的泄漏秘密仍保持活跃。安全专家说，由于修复很复杂，因此会延迟出现。

泄漏的API键，密码和令牌通常被忽略，因为检测它们只是解决方案的一部分；网络安全工具供应商Apicontext首席执行官Mayur Upadhyaya表示，有效的补救是复杂的，并且经常延迟。``依靠静态键的依赖（通常是为了方便起见）仍然是一个主要的弱点。”

Upadhyaya补充说：“旋转密钥，实施短暂的代币以及执行最小特权访问之类的最佳实践是有充分理解的，但很难在大规模上维持。”

Upadhyaya总结说，企业应寻求建立更强大的护栏“自动扫描工具，主动监视以及更好的开发人员支持，以确保更加稳定地遵循安全的做法。