當(dāng)ChatGPT等工具出現(xiàn)故障時(shí)，軟件開(kāi)發(fā)人員離開(kāi)工位、臨時(shí)休息或沮喪地靠在椅背上的場(chǎng)景并不罕見(jiàn)。對(duì)許多技術(shù)從業(yè)者而言，AI輔助編碼工具已成為日常便利。即便是像2025年3月24日那樣的短暫中斷，也可能導(dǎo)致開(kāi)發(fā)工作停滯。

"該泡杯咖啡曬15分鐘太陽(yáng)了，"一位Reddit用戶寫(xiě)道。"同感，"另一人回復(fù)道。

包括網(wǎng)絡(luò)安全從業(yè)者在內(nèi)的技術(shù)專業(yè)人員對(duì)ChatGPT等生成式AI工具的依賴正持續(xù)增長(zhǎng)。這些工具正在改變開(kāi)發(fā)者編寫(xiě)代碼、解決問(wèn)題、學(xué)習(xí)和思考的方式——通常能提升短期效率。但這種轉(zhuǎn)變伴隨著代價(jià)：開(kāi)發(fā)者可能弱化自身的編碼和批判性思維能力，最終對(duì)個(gè)人及其所在組織產(chǎn)生長(zhǎng)期影響。

"我們注意到初級(jí)從業(yè)者（尤其是剛進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域的人員）普遍缺乏對(duì)系統(tǒng)層面的深入理解，"Tuskira聯(lián)合創(chuàng)始人兼CISO/CPO Om Moolchandani表示，"許多人能生成功能性代碼片段，卻難以解釋其底層邏輯或針對(duì)真實(shí)攻擊場(chǎng)景進(jìn)行加固。"

微軟近期調(diào)查印證了Moolchandani的觀察：依賴AI完成部分工作的員工往往較少深入質(zhì)疑、分析和評(píng)估自己的工作成果，特別是當(dāng)他們相信AI能提供準(zhǔn)確結(jié)果時(shí)。"使用生成式AI工具時(shí)，批判性思維的投入從信息收集轉(zhuǎn)向信息驗(yàn)證，從問(wèn)題解決轉(zhuǎn)向AI響應(yīng)整合，從任務(wù)執(zhí)行轉(zhuǎn)向任務(wù)監(jiān)管，"報(bào)告指出。

短期收益與長(zhǎng)期風(fēng)險(xiǎn)

部分CISO對(duì)AI代碼生成器（尤其是初級(jí)開(kāi)發(fā)者群體中）日益增長(zhǎng)的依賴性表示擔(dān)憂，另一些則持觀望態(tài)度，認(rèn)為這可能是未來(lái)問(wèn)題而非當(dāng)前威脅。Endor Labs首席信息安全官Karl Mattson指出，多數(shù)大型企業(yè)的AI應(yīng)用仍處早期階段，實(shí)驗(yàn)收益仍大于風(fēng)險(xiǎn)。

"我尚未看到明確證據(jù)表明AI依賴導(dǎo)致基礎(chǔ)編碼技能普遍退化，"他表示，"當(dāng)前我們處于創(chuàng)造性樂(lè)觀階段，通過(guò)原型設(shè)計(jì)獲取AI應(yīng)用的早期成功。核心基礎(chǔ)能力的衰退似乎還很遙遠(yuǎn)。"

但已有專家觀察到過(guò)度依賴AI編寫(xiě)代碼的影響。耶魯隱私實(shí)驗(yàn)室創(chuàng)始人兼PrivacySave首席執(zhí)行官Sean O'Brien對(duì)此表示強(qiáng)烈擔(dān)憂：重度依賴ChatGPT或低代碼平臺(tái)的開(kāi)發(fā)者"往往形成'氛圍編碼'心態(tài)，更關(guān)注功能實(shí)現(xiàn)而非理解工作原理"。

Cynet首席技術(shù)官Aviad Hasnis特別關(guān)注初級(jí)從業(yè)者"嚴(yán)重依賴AI生成代碼卻未充分理解其底層邏輯"的現(xiàn)象。他認(rèn)為這種過(guò)度依賴對(duì)個(gè)人和組織構(gòu)成多重挑戰(zhàn)："網(wǎng)絡(luò)安全工作需要超越AI建議的批判性思維、故障排除能力和風(fēng)險(xiǎn)評(píng)估能力。"

DH2i聯(lián)合創(chuàng)始人兼CTO Oj Ngo警告，雖然AI代碼生成器能提供快速解決方案和短期收益，但長(zhǎng)期依賴可能適得其反："當(dāng)AI系統(tǒng)不可用或不足時(shí)，開(kāi)發(fā)者可能難以適應(yīng)，最終影響其作為創(chuàng)新者和技術(shù)專家的效能。"

合規(guī)盲區(qū)與法律風(fēng)險(xiǎn)

隨著生成式AI深度融入軟件開(kāi)發(fā)和安全工作流，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者對(duì)其可能引入的盲區(qū)表示擔(dān)憂。

"AI能生成看似安全的代碼，但缺乏對(duì)組織威脅模型、合規(guī)需求和對(duì)抗風(fēng)險(xiǎn)環(huán)境的上下文認(rèn)知，"Moolchandani強(qiáng)調(diào)。

他列舉兩大問(wèn)題：AI生成的安全代碼可能無(wú)法抵御不斷演變的攻擊技術(shù)；可能無(wú)法反映組織的特定安全態(tài)勢(shì)和需求。此外，AI生成代碼可能造成安全假象，因?yàn)殚_(kāi)發(fā)者（特別是經(jīng)驗(yàn)不足者）常默認(rèn)其安全性。

更存在違反許可條款或監(jiān)管標(biāo)準(zhǔn)的合規(guī)風(fēng)險(xiǎn)。"許多AI工具（特別是基于開(kāi)源代碼庫(kù)生成代碼的工具）可能無(wú)意間引入未經(jīng)審查、許可不當(dāng)甚至惡意的代碼，"O'Brien指出。開(kāi)源許可通常對(duì)署名、再分發(fā)和修改有特定要求，依賴AI生成代碼可能導(dǎo)致意外違規(guī)。

"這在網(wǎng)絡(luò)安全工具開(kāi)發(fā)中尤為危險(xiǎn)，遵守開(kāi)源許可不僅是法律義務(wù)，更影響安全態(tài)勢(shì)，"O'Brien補(bǔ)充道，"意外違反知識(shí)產(chǎn)權(quán)法或引發(fā)法律責(zé)任的風(fēng)險(xiǎn)巨大。"

Digital.ai首席技術(shù)官Wing To從技術(shù)角度指出，AI生成代碼不應(yīng)被視為萬(wàn)能方案："AI生成代碼的關(guān)鍵挑戰(zhàn)在于人們誤以為其質(zhì)量?jī)?yōu)于人工編寫(xiě)代碼。實(shí)際上可能包含訓(xùn)練數(shù)據(jù)中埋藏的漏洞、錯(cuò)誤、受保護(hù)IP等質(zhì)量問(wèn)題。"

人才評(píng)估范式轉(zhuǎn)變

既然生成式AI將長(zhǎng)期存在，CISO及其組織必須重視其影響。新常態(tài)下，需要建立護(hù)欄機(jī)制以促進(jìn)批判性思維、深化代碼理解并強(qiáng)化各編碼團(tuán)隊(duì)的問(wèn)責(zé)制。

Moolchandani建議企業(yè)重新評(píng)估招聘過(guò)程中的技術(shù)技能考核方式："代碼測(cè)試可能不再足夠——需要更關(guān)注安全推理、架構(gòu)設(shè)計(jì)和對(duì)抗思維。"DH2i在招聘中通過(guò)評(píng)估候選人對(duì)AI的依賴程度，衡量其獨(dú)立思考和工作的能力。

紐約大學(xué)全球CIO Don Welch持相似觀點(diǎn)：在新范式中取得成功的人將保持好奇心、提出問(wèn)題并努力理解周圍世界。"要雇傭那些重視成長(zhǎng)和學(xué)習(xí)的人，"他表示。

部分網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者擔(dān)憂，過(guò)度依賴AI可能加劇行業(yè)本已存在的人才短缺危機(jī)。對(duì)中小型組織而言，尋找并培養(yǎng)技術(shù)人才將愈發(fā)困難。"如果下一代安全專業(yè)人員主要接受AI使用培訓(xùn)而非批判性思考安全挑戰(zhàn)，行業(yè)可能難以培養(yǎng)推動(dòng)創(chuàng)新和韌性的資深領(lǐng)導(dǎo)者，"Hasnis警告道。

AI不應(yīng)取代編程知識(shí)

Moolchandani指出，使用AI工具編寫(xiě)代碼卻未建立深厚技術(shù)基礎(chǔ)的早期從業(yè)者面臨發(fā)展停滯的高風(fēng)險(xiǎn)："中長(zhǎng)期看，這可能限制其向需要威脅建模、可利用性分析和安全工程專業(yè)知識(shí)的高級(jí)安全角色發(fā)展。企業(yè)很可能會(huì)區(qū)分用AI增強(qiáng)技能和依賴AI彌補(bǔ)基礎(chǔ)缺陷的員工。"

專家建議組織加強(qiáng)培訓(xùn)并調(diào)整知識(shí)傳遞方式："在職培訓(xùn)應(yīng)更注重實(shí)踐，聚焦真實(shí)漏洞、利用技術(shù)和安全編碼原則，"Moolchandani強(qiáng)調(diào)。Mattson補(bǔ)充道，持續(xù)技能提升的文化能適應(yīng)任何技術(shù)變革。

Hasnis認(rèn)為培訓(xùn)應(yīng)幫助員工理解AI的優(yōu)勢(shì)與局限："通過(guò)AI驅(qū)動(dòng)效率與人工監(jiān)督相結(jié)合，企業(yè)既能利用AI優(yōu)勢(shì)，又能確保安全團(tuán)隊(duì)保持專注、專業(yè)和彈性。"他建議開(kāi)發(fā)者始終質(zhì)疑AI輸出，特別是在安全敏感環(huán)境中。

O'Brien主張AI應(yīng)與人類專業(yè)知識(shí)相輔相成："企業(yè)需建立將AI視為工具的文化——它能輔助但無(wú)法取代對(duì)編程及傳統(tǒng)軟件開(kāi)發(fā)部署的深入理解。"

"企業(yè)絕不能陷入用AI掩蓋專業(yè)知識(shí)不足的陷阱。"