偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

AI 寫代碼=安全危機(jī)?第一聲“警哨”已吹響

人工智能 安全
AI編程工具的普及,解放了生產(chǎn)力,也將網(wǎng)絡(luò)安全推向更新、更隱蔽的戰(zhàn)場(chǎng)——代碼安全戰(zhàn)場(chǎng),一場(chǎng)看不見(jiàn)的硝煙開(kāi)始了。

作者 | 騰訊AI編程安全-啄木鳥(niǎo)團(tuán)隊(duì)

團(tuán)隊(duì)介紹:專注AI編程場(chǎng)景下的安全研究與解決方案,讓AI輸出的每一行代碼,都經(jīng)得起安全考驗(yàn)。

一、AI時(shí)代帶來(lái)編程新變革

因?yàn)锳I編程工具的誕生,代碼的誕生方式正在經(jīng)歷一場(chǎng)看不見(jiàn)的變革。

Anthropic 公司(產(chǎn)品:Claude )的 CEO —— Dario Amodei 近日發(fā)表看法:一年內(nèi),所有代碼都將由AI生成。

無(wú)獨(dú)有偶,OpenAI 的CPO —— Kevin Weil 也在近期的視頻采訪中表示:今年是人工智能在編程方面永遠(yuǎn)優(yōu)于人類的一年,不再會(huì)拖到 2027 年。

截圖來(lái)自:《OpenAI CPO Reveals Coding Will Be Automated THIS YEAR,F(xiàn)uture Jobs, 2025 AI Predictions & More》

畢竟用AI編程工具,新手開(kāi)發(fā)者對(duì)著屏幕輸入prompt,只需要三分鐘就能獲得代碼解決方案;架構(gòu)師把需求文檔喂給大模型,AI直接連帶原型設(shè)計(jì)全部輸出完畢,各個(gè)技術(shù)板塊的知識(shí)壁壘在AI算法逐漸消失。

GitHub 2024開(kāi)發(fā)者報(bào)告顯示,全球76%的程序員日常使用AI編程工具,每月生成的代碼總量達(dá)950億行,相當(dāng)于人類過(guò)去十年的編碼量,代碼倉(cāng)庫(kù)的生態(tài)正在經(jīng)歷結(jié)構(gòu)性變化。

AI編程工具的普及,解放了生產(chǎn)力,也將網(wǎng)絡(luò)安全推向更新、更隱蔽的戰(zhàn)場(chǎng)——代碼安全戰(zhàn)場(chǎng),一場(chǎng)看不見(jiàn)的硝煙開(kāi)始了。

二、代碼安全防線,正在被AI技術(shù)撕開(kāi)更大的缺口

AI編程工具提高了代碼生產(chǎn)和迭代的頻率,但其中的漏洞隱蔽性、出現(xiàn)速度呈指數(shù)級(jí)增長(zhǎng)————畢竟AI生成代碼的速度是人類的173倍,外加我們對(duì)AI生成能力“可信”的觀點(diǎn),代碼安全不可避免將出現(xiàn)更多挑戰(zhàn)。更可怕的是,攻擊者正在通過(guò)AI構(gòu)建"漏洞自動(dòng)化軍工廠"

  • 漏洞量產(chǎn):一個(gè)AI生成的用戶登錄模塊,可能同時(shí)攜帶越權(quán)、注入、硬編碼密鑰三重漏洞
  • 精準(zhǔn)打擊:黑客用自然語(yǔ)言描述攻擊目標(biāo)(如"盜取電商用戶支付信息"),AI自動(dòng)生成適配目標(biāo)系統(tǒng)架構(gòu)的混合型攻擊代碼

以我們?cè)鴶r截到的一例真實(shí)攻擊為例:

某金融平臺(tái)AI生成的支付接口代碼中,攻擊者利用模型對(duì)"高性能"的偏好,誘導(dǎo)生成未加密的緩存日志,導(dǎo)致上萬(wàn)條銀行卡信息裸奔在服務(wù)器上。這場(chǎng)"AI代碼信任危機(jī)"正把每個(gè)程序員變成潛在的漏洞投放者——你以為在讓AI寫代碼,實(shí)則可能在親手給企業(yè)埋下隱患。

以下是騰訊AI編程安全-啄木鳥(niǎo)團(tuán)隊(duì),探測(cè)到真實(shí)存在于各熱門項(xiàng)目中,常見(jiàn)的AI編程漏洞,如果你也開(kāi)始習(xí)慣使用AI編程工具,那請(qǐng)注意以下幾類風(fēng)險(xiǎn):

1.XML外部實(shí)體漏洞(XXE)

AI生成的XML處理代碼暗藏"致命安檢漏洞"——就像快遞站不拆箱檢查直接簽收包裹。攻擊者只需上傳偽裝成普通數(shù)據(jù)文件的"特洛伊木馬"(如<!ENTITY xxe SYSTEM "file:///etc/passwd">),就能讓服務(wù)器主動(dòng)交出數(shù)據(jù)庫(kù)密碼、系統(tǒng)配置等核心資產(chǎn),甚至被植入遠(yuǎn)程木馬文件。

(代碼來(lái)源:GitHub 某AI生成的代碼開(kāi)源項(xiàng)目)

2.賬密硬編碼信息泄露

我們?cè)谀碂衢T編程教學(xué)視頻中發(fā)現(xiàn),作者使用某AI編程工具生成小程序代碼時(shí),AI“很聽(tīng)話”的把API密鑰直接寫在代碼里。由于小程序代碼會(huì)直接暴露在用戶手機(jī)中,相當(dāng)于把"保險(xiǎn)柜密碼"貼在公共走廊——任何人使用該小程序,都能輕易獲取密鑰,導(dǎo)致云服務(wù)資源被盜用或數(shù)據(jù)泄露。

(圖片來(lái)源:某視頻平臺(tái)熱門AI編程教程截圖)

當(dāng)開(kāi)發(fā)者用 AI 接入第三方服務(wù)時(shí),生成的代碼竟把某頭部音樂(lè)平臺(tái)的API密鑰直接寫在代碼里(類似把銀行卡密碼貼在外套后面),更危險(xiǎn)的是,這些包含密鑰的代碼被新手開(kāi)發(fā)者傳到GitHub開(kāi)源社區(qū),甚至做成教程發(fā)到Y(jié)ouTube,相當(dāng)于把"大門鑰匙"掛在公共場(chǎng)所,攻擊者可以隨意竊取數(shù)據(jù)或盜用其計(jì)算資源。

(代碼來(lái)源:GitHub 某AI生成的代碼開(kāi)源項(xiàng)目)

3.水平越權(quán)漏洞

AI生成的下載功能代碼暗藏"自動(dòng)泄密"風(fēng)險(xiǎn)——就像快遞員不核對(duì)身份,僅憑文件名就送貨。攻擊者只需輸入他人文件名(如"小A的生活照片.jpg"),就能繞過(guò)權(quán)限驗(yàn)證,直接竊取存儲(chǔ)在服務(wù)器的隱私數(shù)據(jù)。這種由AI編碼漏洞引發(fā)的"自助式數(shù)據(jù)盜取",正在成為黑產(chǎn)分子新的攻擊溫床。

(代碼來(lái)源:GitHub 某 AI 生成的代碼開(kāi)源項(xiàng)目)

4.目錄穿越漏洞

在下載文件功能中,AI生成的代碼在獲取服務(wù)端文件資源時(shí),并未對(duì)用戶傳入的文件路徑信息進(jìn)行嚴(yán)格的輸入清洗,導(dǎo)致攻擊者可以通過(guò)精心構(gòu)造包含路徑穿越符的文件名,實(shí)現(xiàn)目錄穿越,下載文件存儲(chǔ)目錄之外的后臺(tái)系統(tǒng)敏感文件,竊取系統(tǒng)敏感數(shù)據(jù)(例如后臺(tái)賬戶密碼)。

(代碼來(lái)源:GitHub 某AI生成的代碼開(kāi)源項(xiàng)目)

5.XSS漏洞

AI生成的商品評(píng)論區(qū)代碼一不小心成了"腳本病毒傳播器"——就像允許任何人在公告欄上隨意涂改內(nèi)容。攻擊者只需在評(píng)論里插入惡意代碼(比如偽裝成普通文字的<script>竊取用戶密碼</script>),當(dāng)其他用戶瀏覽該頁(yè)面時(shí),這些代碼就會(huì)像自動(dòng)播放的廣告病毒般在受害者電腦上運(yùn)行,輕則彈窗騷擾,重則盜取賬號(hào)、劫持支付頁(yè)面。這種由AI代碼"偷懶"引發(fā)的安全隱患,正讓每個(gè)用戶都暴露在數(shù)據(jù)泄露的槍口下。

(代碼來(lái)源:GitHub 某 AI 生成的代碼開(kāi)源項(xiàng)目)

三、如何應(yīng)對(duì)AI編程的安全風(fēng)險(xiǎn)?安全守護(hù)者的新使命

1.零信任機(jī)制:給 AI 編碼加上“三把鎖”

當(dāng)AI每分鐘生成數(shù)百行代碼,我們選擇用機(jī)器對(duì)抗機(jī)器——用智能監(jiān)控守住每行代碼的底線。

(1) 敏感信息自動(dòng)攔截

  • AI生成代碼時(shí)自動(dòng)掃描密鑰、密碼等敏感數(shù)據(jù),強(qiáng)制替換為安全調(diào)用接口。
  • 開(kāi)發(fā)環(huán)境實(shí)時(shí)彈窗告警,推送加密存儲(chǔ)方案(如小程序場(chǎng)景自動(dòng)關(guān)聯(lián)云密鑰管理)。

(2) 危險(xiǎn)指令動(dòng)態(tài)過(guò)濾

  • 在AI交互過(guò)程中攔截高風(fēng)險(xiǎn)指令(如"跳過(guò)權(quán)限校驗(yàn)")。
  • 對(duì)文件操作、數(shù)據(jù)查詢等關(guān)鍵功能,自動(dòng)添加安全檢查代碼。

(3) 智能觸發(fā)「越權(quán)熔斷」機(jī)制

  • 首次檢測(cè)到越權(quán)代碼,自動(dòng)插入用戶身份校驗(yàn)?zāi)0濉?/li>
  • 二次發(fā)現(xiàn)直接凍結(jié)AI編碼功能,觸發(fā)人工復(fù)核。

2.用AI技術(shù)解決AI編程的風(fēng)險(xiǎn)問(wèn)題

騰訊AI編程安全-啄木鳥(niǎo)團(tuán)隊(duì),正在搭建AI編程場(chǎng)景下的安全防護(hù)新方案?;诖竽P图夹g(shù),研發(fā)場(chǎng)景更垂直、效率更高效、體驗(yàn)更自動(dòng)化的漏洞審計(jì)能力,為新時(shí)代提供更安全、更智能的AI代碼質(zhì)量保障。

(圖:AI編程場(chǎng)景的安全解決方案)

技術(shù)方案相比于傳統(tǒng)代碼漏洞檢測(cè)工具,有更鮮明的特征:

  • 不再依賴定制規(guī)則的泛化能力:基于大語(yǔ)言模型的強(qiáng)大代碼理解能力和海量安全知識(shí),不再依賴人工預(yù)設(shè)的漏洞規(guī)則庫(kù),而是通過(guò)模型對(duì)代碼語(yǔ)義、上下文邏輯的深度理解,自動(dòng)適配多種編程語(yǔ)言和復(fù)雜業(yè)務(wù)場(chǎng)景。
  • 準(zhǔn)確率更高,能夠理解業(yè)務(wù)邏輯:傳統(tǒng)工具因缺乏對(duì)業(yè)務(wù)邏輯的理解,常常因?yàn)橐恍I(yè)務(wù)特定的邏輯,例如特殊的查詢操作或者命令執(zhí)行操作導(dǎo)致誤報(bào)。通過(guò)大模型的推理能力,模擬開(kāi)發(fā)者思維解析代碼執(zhí)行鏈路,深入業(yè)務(wù)的代碼邏輯,精準(zhǔn)區(qū)分“漏洞代碼”與“安全編碼模式”,將業(yè)務(wù)的一些特殊寫法和特殊邏輯進(jìn)行識(shí)別,顯著減少誤報(bào)干擾。

四、寫在最后

當(dāng)AI逐漸接管代碼編寫工作,就像百年前織布機(jī)的出現(xiàn)取代了手工紡錘那樣,但織布機(jī)轉(zhuǎn)速提升百倍時(shí),線頭的脆弱性也將百倍放大——AI生成代碼的時(shí)候,最脆弱的地方將會(huì)是哪?

在AI改變程序員的時(shí)代,網(wǎng)絡(luò)安全也隨之迎來(lái)新挑戰(zhàn)。我們選擇做AI編程永恒的守衛(wèi)者,技術(shù)為鎬,以敬畏為盾,深耕AI編程安全的戰(zhàn)場(chǎng)。

責(zé)任編輯:趙寧寧 來(lái)源: 騰訊技術(shù)工程
相關(guān)推薦

2019-12-30 14:34:33

NumpyPython數(shù)據(jù)科學(xué)

2012-03-23 15:36:39

2021-04-16 10:00:30

AI 數(shù)據(jù)人工智能

2013-06-17 15:45:54

中國(guó)敏捷軟件開(kāi)發(fā)大會(huì)

2013-08-07 09:39:55

大數(shù)據(jù)

2020-09-02 14:52:03

中國(guó)電子云計(jì)算

2013-08-12 09:39:37

大數(shù)據(jù)大數(shù)據(jù)農(nóng)業(yè)

2015-07-08 16:28:28

2015-06-24 10:13:01

中軟國(guó)際解放號(hào)IT眾包服務(wù)

2015-06-24 10:24:34

解放號(hào)

2019-09-11 15:35:18

戴爾

2012-01-06 09:48:54

云計(jì)算IBM

2024-02-29 13:59:28

2018-06-15 16:54:02

華為云

2014-07-17 16:53:12

2010-04-30 15:09:42

數(shù)據(jù)泄露防護(hù)DLP億賽通

2020-04-14 19:33:27

遠(yuǎn)程辦公安全遠(yuǎn)程辦公

2023-09-01 06:56:15

IntelSSD固態(tài)硬盤
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)