AI程式碼洪流壓垮審查速度 軟體安全與維護面臨新挑戰
商傳媒|責任編輯/綜合外電報導
隨著人工智慧(AI)程式碼生成工具如 Cursor 和 Claude Code 的廣泛應用,軟體開發產業正面臨一項新挑戰:「程式碼洪流」(deluge of code)。這股由AI工具快速產出的大量程式碼,其生成速度已遠超人工審查能力,引發了程式碼品質、安全性及維護上的困境。
矽谷創投 Costanoa Ventures 的顧問 Joe Sullivan 指出,由於AI程式碼生成工具在個人電腦(筆記型電腦)上的運作效率優於企業安全伺服器上的網頁環境,導致更多工程師傾向將公司完整的程式碼下載至筆記型電腦。這種作業模式潛藏著資安風險,一旦筆記型電腦遺失,可能造成嚴重的資料外洩,這是連六個月前都未曾預料到的「危險情況」。
開源專案也深受其擾。數位白板新創 Tldraw 創辦人 Steve Ruiz 於去年秋季發現,貢獻其程式碼基礎的外部開發者行為異常,包括在最後階段中途退出,或無視指示、發布類似垃圾訊息的更新。Ruiz 研判這些異常行為很可能來自 AI 機器人,並於今年一月停止了 Tldraw 的外部存取權限。他表示,若 AI 機器人大量湧入,將危及團隊、社群及專案的聲譽。
為應對此一挑戰,開源專案平台如 GitHub 正在積極尋求解決方案。企業方面,則增加招募資深應用程式安全工程師,以管理 AI 生成程式碼的龐大數量,並找出其中的錯誤與風險。然而,全球資深應用程式安全工程師短缺,即使是美國企業也難以滿足需求。
AI 工具供應商也正加速開發輔助審查的技術。例如,Anthropic 和 OpenAI 已推出基於 AI 的軟體審查代理人。AI 程式碼工具新創 Cursor 更收購了開發程式碼審查機器人的 Graphite 公司,並透過其 Bugbot 提供 AI 程式碼審查服務。Cursor 也整合了 Graphite 的堆疊拉取請求功能(stacked pull request),協助開發者同時處理多項變更,無需等待程式碼審查批准,以提升開發效率。