Snyk调查发现,高达80%开发者为使用AI开发工具,绕过公司安全政策
https://www.ithome.com.tw/news/160221
人工智能程式开发辅助工具已经大量参与开发人员的日常工作,Jetbrains的2023开发者
大调查佐证了这个现况,77%受访者都使用ChatGPT,GitHub Copilot也有46%的开发者
使用。虽然人工智能程式开发辅助工具可以帮助开发人员更有效率地编写程式码,不过,
也对组织带来了一些安全挑战。
资安公司Snyk对537名软件工程和安全团队成员进行调查,并在其2023年人工智能程式码
安全报告中指出,企业过于忽视人工智能程式开发辅助工具所带来的安全问题。
96%的受访者团队已使用人工智能程式开发辅助工具,但有56.4%的受访者表示经常从人
工智慧程式码建议中发现安全问题,也有高达80%的开发人员承认,为了使用人工智能程
式开发辅助工具而绕过组织安全政策。即便开发人员已大量应用人工智能编写程式码,但
是Snyk表示,少有团队相对应调整安全流程,只有不到10%的组织,对大部分程式码执行
自动化安全扫描。
人工智能程式开发辅助工具所产生的安全问题不只存在于组织内,也正影响着开源工具链
的安全,73.2%的受访者曾对开源专案贡献程式码,代表即便他们皆具备开源专案的知识
,也理解人工智能可能提供不安全的程式码,但是只有24.6%的组织,使用软件组成分析
(Software composition analysis,SCA)工具验证人工智能的程式码建议。Snyk解释,
更快的开发速度可能使得组织更容易接受不安全的开源元件,而人工智能工具使用开源程
式码作为训练资料集,可能因此学习不安全的程式码写法,导致恶性循环产生更多不安全
的建议。
高达55.1%的受访者都表示组织已经将人工智能工具,视为软件供应链的一部分,不过,
Snyk认为大多数组织并未对这种情况采取足够应对,最常采取的行动是增加安全扫描,但
实行的组织也只有18.4%。针对这样的现象,Snyk猜测,可能来自于人们错误认为人工智
慧生成的程式码建议,比人类编写的程式码更安全。有75%的受访者认为人工智能生成的
程式码较人类安全。
有趣的是,大多数受访者不信任人工智能,有86%的受访者对人工智能程式开发辅助工具
的安全性存在顾虑,Snyk提到,之所以有这种认知失调的状况出现,可能来自于从众心理
,开发人员说服自己其他人也在使用人工智能工具,则这些工具势必值得信任。小部分的
组织限制人工智能程式开发辅助工具的使用,主要原因包括57%担忧程式码的安全性,其
次有53.8%的组织顾虑资料隐私,还有46.4%的组织在意程式品质(下图)。
开发人员因为人工智能程式开发辅助工具的协助,使得生产力增加,因而加快了程式码编
写速度,而这也对应用程式安全团队带来更多的压力,有五分之一的团队在跟上软件开发
的脚步存在挑战。
虽然已有研究显示人工智能生成的程式码建议并没有比较安全,Snyk提到,但人们现在普
遍相信人工智能程式开发辅助工具出错机率比人类更低,因此组织应该透过教育纠正这样
的错误观念,并且采用安全工具保护人工智能所生成的程式码。
====
我想起之前工作时,因为某金融业的老板反映要挡ChatGPT,因此公司内的应用防火墙供
应商就把所有客户都挡了,然后公司上级就跳脚了,主管莫名其妙就被刮了一顿,笑死