漏洞和人工智能争夺软件开发者的注意力

来源：Gorodenkoff via Shutterstock

在通用版ChatGPT发布不到两年的时间里，大多数软件开发人员已经采用了AI助手进行编程。这提高了效率，但同时，它也导致了更快的软件开发节奏，使得维持安全性变得更加困难。

开发者预计将在2024年下载超过66万亿个软件组件，其中包括JavaScript组件的下载量增加70%，Python模块的下载量增加87%，根据年度“软件供应链状况”报告。报告来自Sonatype。同时，过去七年中，那些开源项目修复漏洞的平均时间显著增加，从2017年的约25天增至2024年超过300天。

一个可能的原因是：Sonatype的首席技术官Brian Fox表示，AI的到来正在推动更快的开发周期，这使得安全变得更加困难。根据最近的一项Stackoverflow调查，大多数开发者现在都在他们的开发过程中使用AI工具，其中有62%的 coder 表示他们使用了人工智能助手从去年的44%上升到当前的百分比。

人工智能已经迅速成为加快编码过程的强大工具，但安全方面的进展却没有跟上步伐，这导致了质量较低、安全性较差的代码出现。“我们正在朝正确的方向前进，但是当开发人员不再为了速度而牺牲质量和安全时，人工智能真正的益处才会显现出来。”

相关：新闻 desk 2024：黑客攻击微软 Copilot 简直易如反掌

安全研究人员警告说，AI代码生成可能导致更多的漏洞和新型攻击。例如，一组研究人员展示了能够毒害用于代码生成的大规模语言模型（LLM）在8月举行的USENIX安全 symposium 上展示了可以恶意利用的代码。3月份，一家LLM安全供应商的研究人员表明，攻击者可以使用AI幻觉作为一种攻击方式。引导开发人员及其应用程序走向恶意软件包.

开发者也越来越担心AI助手可能会建议或传播脆弱的代码。虽然大多数开发者（56%）期望AI助手能提供可用的代码，但只有23%的人认为这些代码是安全的，而更大的一群（40%）不要相信AI助手能提供安全的代码根据软件开发公司JetBrains和加州大学欧文分校于六月发布的研究。

Black Duck Software（一家软件完整性工具提供商）的高级产品经理吉米·拉邦表示，许多开发者对AI编码工具带来的变化速度感到困惑，未来可能还会有更多变化。

相关：中国研究人员利用量子技术破解加密技术

“我们还没有看到大规模引入一个能够像初级或中级开发者那样编写代码的系统所产生的长期影响，”他说。“我的预期是，我们将看到更多的中级错误——类似于初级或中级开发人员可能会犯的基本错误——以及对某些数据流上下文的理解问题。”

2024：开发者AI助理之年

虽然现在大多数开发者都在使用AI助手，但在商业环境中，AI工具的采用率更高——据称超过90%的开发人员使用了AI助手。墨鸭公司2024年全球DevSecOps状况调查拉邦表示，人工智能作为开发人员的工具已经深入人心，并且“永远不会消失”。

然而，许多开发者缺乏判断AI助手提供的代码是否安全的经验。例如，初级开发者比经验丰富的同行更信任AI生成的代码，根据Stack Overflow年度开发者调查，49%的初级开发者相信AI生成代码的准确性，而有经验的开发者中这一比例为42%。

相关：WP Engine指责WordPress“强行”接管其插件

此外，人工智能工具将影响开发人员的教育，并可能使入门级开发人员更难获得在其职业生涯中晋升所需的技能。Sonatype的Fox表示，依赖AI来完成简单的编程项目可能会减少对通常处理简单编码任务的新手或初级开发人员的需求，从而消除了一条培训路径。

“开发社区正在老龄化，而人工智能的引入对年轻一代构成了潜在的风险，”他说。“如果人工智能能够处理之前分配给初级开发者的工作任务，那么他们如何获得取代即将离开行业的资深开发者所需的经验呢？”

安全代码的自动生成

直到AI助手背后的企业创建包含安全代码建议的训练数据集，或者实施防护措施以防止生成脆弱和恶意代码，公司将会部署自动化软件安全工具来检查任何编码助理的工作。

Black Duck的Rabon表示，得益于额外的安全检查以及代码生成助手的快速进化，软件和应用程序的安全性最终可能会变得更强。

他说：“有些基本的安全漏洞，我认为会消失。”“如果你让一个AI系统生成代码，为什么它应该[建议使用不安全的功能？]……我认为我们还没有足够的时间真正看到此类功能的显著效果或证明它们的有效性。”