AI 生成程式碼普及隱憂:近九成開發者未保障安全性
商傳媒|葉安庭/綜合外電報導
根據《App Developer Magazine》近期報導,人工智慧(AI)工具在軟體開發者中已極為普及,高達 96% 的開發者表示會使用這些工具,並認為它們有效。然而,僅有 18% 的開發者在撰寫程式碼時,會持續性地納入安全考量。
這項數據揭示了一項潛在的重大風險:程式碼中 AI 生成比例越高的公司,其產品發布已知漏洞的可能性也隨之增加。報告指出,AI 生成程式碼佔比達 81% 至 100% 的公司,比那些僅佔 1% 至 20% 的公司,發布已知漏洞的機率高出近三倍(47% 對比 14%)。
多數組織對此心知肚明。高達 75% 的組織曾刻意部署帶有漏洞的程式碼,寄希望於能在問題被發現前修復。此外,95% 的資安主管表示,當業務期限迫在眉睫時,他們會面臨壓制或延遲處理合規相關安全問題的壓力。儘管 73% 的組織自評其資安態勢已達「先進」或「高度成熟」等級,但仍有 93% 的組織承認近期曾發生與自家應用程式相關的資料外洩事件。
資安專家強調,目前 78% 的組織仍缺乏正式的 AI 治理政策,這導致「影子工具」(shadow tools)、不透明的模型,以及未被追蹤的程式碼路徑等問題。一套可行的 AI 治理政策應包含人工智慧工具和模型的即時清單、明確的資料處理規範、Prompt(提示詞)衛生準則,以及從人工智慧生成建議到提交(commit)的可追溯性。
為強化程式碼安全性,報導建議應將資安防護整合到開發流程的早期階段。這包括在 Integrated Developer Environment(整合開發環境)中設定即時的「安全護欄」(guardrails),檢查程式碼中的機密資訊、不安全模式及依賴性問題。這些護欄應能提供快速反饋與一鍵修復功能,或提供連結至團隊標準的合理解釋。此外,應在程式碼提交前進行檢查,並透過動態與互動式掃描測試環境,確保安全機制持續運作,而非僅在最後關卡才進行檢測。將 AI 程式開發助理視為一名能快速草擬內容但仍需嚴格審查的實習生,有助於企業更負責任地採用 AI 工具,避免無意中引入更多資安風險。