📢 转载信息
原文链接:https://www.wired.com/story/vibe-coding-is-the-new-open-source/
原文作者:Lily Hay Newman
AI“氛围编程”的兴起与潜在风险
就像你可能不会为了烤面包而亲自种植和磨制小麦一样,大多数软件开发者也不会从零开始编写新项目中的每一行代码。这样做会非常缓慢,而且可能会带来比解决问题更多的安全隐患。因此,开发者会利用现有的库——通常是开源项目——来搭建各种基础软件组件。
虽然这种方法很高效,但它可能会带来软件的暴露和可见性不足的问题。然而,现在“氛围编程”(vibe coding)的兴起正以类似的方式被使用,它允许开发者快速生成他们可以适应的代码,而不是从头编写。但安全研究人员警告说,这种新型的即插即用代码正在使软件供应链安全变得更加复杂——也更加危险。
云安全公司Edera的首席技术官亚历克斯·曾拉(Alex Zenla)说:“我们现在正处于一个临界点,AI在安全方面即将失去宽限期。而AI本身就是生成不安全代码的最大敌人。如果AI在训练过程中吸收了旧的、有漏洞的或低质量的软件,那么过去所有的漏洞都会再次出现,更不用说新的问题了。”
上下文缺失与责任追溯难题
除了吸收了潜在不安全的训练数据,氛围编程的现实是它生成的是代码的粗略草稿,可能没有充分考虑到特定产品或服务的具体上下文和考量。换句话说,即使一家公司使用其项目的源代码和目标描述来训练本地模型,生产过程仍然依赖于人工审核员识别出AI最初生成代码中的任何和所有可能的缺陷或不一致之处。
应用安全公司Checkmarx的研究员埃兰·金斯布鲁纳(Eran Kinsbruner)表示:“在氛围编程时代,工程团队需要重新思考开发生命周期。如果你向同一个LLM模型询问针对你特定源代码的代码,每次得到的输出都会略有不同。团队中的一个开发者会得到一个输出,而另一个开发者会得到不同的输出。因此,这给开源带来了一个额外的复杂性。”
AI代码的透明度危机
在一项对首席信息安全官、应用安全经理和开发主管的调查中,三分之一的受访者表示,到2024年,他们组织中超过60%的代码是由AI生成的。但只有18%的受访者表示,他们的组织有一份批准的氛围编程工具清单。Checkmarx在8月份调查了数千名专业人士并公布了结果,同时也强调,AI开发使得追踪代码的“所有权”变得更加困难。
开源项目本身可能存在不安全、过时或面临恶意接管的风险。而且它们可能在缺乏足够透明度或文档的情况下被整合到代码库中。但研究人员指出,开源一直存在的某些基本保障措施和问责机制,在AI驱动的开发中缺失或严重碎片化。
Edera的AI产品负责人丹·费尔南德斯(Dan Fernandez)说:“AI代码的透明度不高。在GitHub这样的仓库中,你至少可以看到像拉取请求(pull requests)和提交信息(commit messages)这样的东西,以了解谁对代码做了什么,并且有方法追溯贡献者。但对于AI代码,它包含了什么、是否经过人工审核,就没有同样的问责制了。而来自人类的代码行本身也可能是问题的一部分。”
弱势群体面临不成比例的风险
Edera的曾拉还指出,虽然氛围编程对于创建原本可能不存在的、面向资源匮乏群体(如小企业或弱势群体)的基本应用程序和工具来说,可能是一种低成本方式,但这种易用性带来了在这些最容易受到影响和最敏感情况下产生安全暴露的危险。
曾拉说:“有很多关于利用AI帮助弱势群体的讨论,因为它能用更少的精力得到可用的东西。我认为这些工具可以帮助有需要的人,但我同时也认为,氛围编程带来的安全影响将不成比例地影响那些最无力承担后果的人。”
即使在企业中,尽管财务风险主要由公司承担,但因氛围编程引入的广泛漏洞所带来的个人后果也应该被高度重视。
前美国国家安全局黑客、现任Hunter Strategy研发副总裁的杰克·威廉姆斯(Jake Williams)说:“事实是,AI生成的材料已经开始存在于代码库中。我们可以从开源软件供应链安全的进步中学习——否则,我们就会陷入困境。”
🚀 想要体验更好更全面的AI调用?
欢迎使用青云聚合API,约为官网价格的十分之一,支持300+全球最新模型,以及全球各种生图生视频模型,无需翻墙高速稳定,小白也可以简单操作。
青云聚合API官网https://api.qingyuntop.top
支持全球最新300+模型:https://api.qingyuntop.top/pricing
详细的调用教程及文档:https://api.qingyuntop.top/about
评论区