當(dāng)ChatGPT等工具出現(xiàn)故障時(shí)，軟件開發(fā)人員離開工位、臨時(shí)休息或沮喪地靠在椅背上的場景并不罕見。對許多技術(shù)從業(yè)者而言，AI輔助編碼工具已成為日常便利。即便是像2025年3月24日那樣的短暫中斷，也可能導(dǎo)致開發(fā)工作停滯。

"該泡杯咖啡曬15分鐘太陽了，"一位Reddit用戶寫道。"同感，"另一人回復(fù)道。

包括網(wǎng)絡(luò)安全從業(yè)者在內(nèi)的技術(shù)專業(yè)人員對ChatGPT等生成式AI工具的依賴正持續(xù)增長。這些工具正在改變開發(fā)者編寫代碼、解決問題、學(xué)習(xí)和思考的方式——通常能提升短期效率。但這種轉(zhuǎn)變伴隨著代價(jià)：開發(fā)者可能弱化自身的編碼和批判性思維能力，最終對個(gè)人及其所在組織產(chǎn)生長期影響。

"我們注意到初級從業(yè)者（尤其是剛進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域的人員）普遍缺乏對系統(tǒng)層面的深入理解，"Tuskira聯(lián)合創(chuàng)始人兼CISO/CPO Om Moolchandani表示，"許多人能生成功能性代碼片段，卻難以解釋其底層邏輯或針對真實(shí)攻擊場景進(jìn)行加固。"

微軟近期調(diào)查印證了Moolchandani的觀察：依賴AI完成部分工作的員工往往較少深入質(zhì)疑、分析和評估自己的工作成果，特別是當(dāng)他們相信AI能提供準(zhǔn)確結(jié)果時(shí)。"使用生成式AI工具時(shí)，批判性思維的投入從信息收集轉(zhuǎn)向信息驗(yàn)證，從問題解決轉(zhuǎn)向AI響應(yīng)整合，從任務(wù)執(zhí)行轉(zhuǎn)向任務(wù)監(jiān)管，"報(bào)告指出。

短期收益與長期風(fēng)險(xiǎn)

部分CISO對AI代碼生成器（尤其是初級開發(fā)者群體中）日益增長的依賴性表示擔(dān)憂，另一些則持觀望態(tài)度，認(rèn)為這可能是未來問題而非當(dāng)前威脅。Endor Labs首席信息安全官Karl Mattson指出，多數(shù)大型企業(yè)的AI應(yīng)用仍處早期階段，實(shí)驗(yàn)收益仍大于風(fēng)險(xiǎn)。

"我尚未看到明確證據(jù)表明AI依賴導(dǎo)致基礎(chǔ)編碼技能普遍退化，"他表示，"當(dāng)前我們處于創(chuàng)造性樂觀階段，通過原型設(shè)計(jì)獲取AI應(yīng)用的早期成功。核心基礎(chǔ)能力的衰退似乎還很遙遠(yuǎn)。"

但已有專家觀察到過度依賴AI編寫代碼的影響。耶魯隱私實(shí)驗(yàn)室創(chuàng)始人兼PrivacySave首席執(zhí)行官Sean O'Brien對此表示強(qiáng)烈擔(dān)憂：重度依賴ChatGPT或低代碼平臺(tái)的開發(fā)者"往往形成'氛圍編碼'心態(tài)，更關(guān)注功能實(shí)現(xiàn)而非理解工作原理"。

Cynet首席技術(shù)官Aviad Hasnis特別關(guān)注初級從業(yè)者"嚴(yán)重依賴AI生成代碼卻未充分理解其底層邏輯"的現(xiàn)象。他認(rèn)為這種過度依賴對個(gè)人和組織構(gòu)成多重挑戰(zhàn)："網(wǎng)絡(luò)安全工作需要超越AI建議的批判性思維、故障排除能力和風(fēng)險(xiǎn)評估能力。"

DH2i聯(lián)合創(chuàng)始人兼CTO Oj Ngo警告，雖然AI代碼生成器能提供快速解決方案和短期收益，但長期依賴可能適得其反："當(dāng)AI系統(tǒng)不可用或不足時(shí)，開發(fā)者可能難以適應(yīng)，最終影響其作為創(chuàng)新者和技術(shù)專家的效能。"

合規(guī)盲區(qū)與法律風(fēng)險(xiǎn)

隨著生成式AI深度融入軟件開發(fā)和安全工作流，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者對其可能引入的盲區(qū)表示擔(dān)憂。

"AI能生成看似安全的代碼，但缺乏對組織威脅模型、合規(guī)需求和對抗風(fēng)險(xiǎn)環(huán)境的上下文認(rèn)知，"Moolchandani強(qiáng)調(diào)。

他列舉兩大問題：AI生成的安全代碼可能無法抵御不斷演變的攻擊技術(shù)；可能無法反映組織的特定安全態(tài)勢和需求。此外，AI生成代碼可能造成安全假象，因?yàn)殚_發(fā)者（特別是經(jīng)驗(yàn)不足者）常默認(rèn)其安全性。

更存在違反許可條款或監(jiān)管標(biāo)準(zhǔn)的合規(guī)風(fēng)險(xiǎn)。"許多AI工具（特別是基于開源代碼庫生成代碼的工具）可能無意間引入未經(jīng)審查、許可不當(dāng)甚至惡意的代碼，"O'Brien指出。開源許可通常對署名、再分發(fā)和修改有特定要求，依賴AI生成代碼可能導(dǎo)致意外違規(guī)。

"這在網(wǎng)絡(luò)安全工具開發(fā)中尤為危險(xiǎn)，遵守開源許可不僅是法律義務(wù)，更影響安全態(tài)勢，"O'Brien補(bǔ)充道，"意外違反知識(shí)產(chǎn)權(quán)法或引發(fā)法律責(zé)任的風(fēng)險(xiǎn)巨大。"

Digital.ai首席技術(shù)官Wing To從技術(shù)角度指出，AI生成代碼不應(yīng)被視為萬能方案："AI生成代碼的關(guān)鍵挑戰(zhàn)在于人們誤以為其質(zhì)量優(yōu)于人工編寫代碼。實(shí)際上可能包含訓(xùn)練數(shù)據(jù)中埋藏的漏洞、錯(cuò)誤、受保護(hù)IP等質(zhì)量問題。"

人才評估范式轉(zhuǎn)變

既然生成式AI將長期存在，CISO及其組織必須重視其影響。新常態(tài)下，需要建立護(hù)欄機(jī)制以促進(jìn)批判性思維、深化代碼理解并強(qiáng)化各編碼團(tuán)隊(duì)的問責(zé)制。

Moolchandani建議企業(yè)重新評估招聘過程中的技術(shù)技能考核方式："代碼測試可能不再足夠——需要更關(guān)注安全推理、架構(gòu)設(shè)計(jì)和對抗思維。"DH2i在招聘中通過評估候選人對AI的依賴程度，衡量其獨(dú)立思考和工作的能力。

紐約大學(xué)全球CIO Don Welch持相似觀點(diǎn)：在新范式中取得成功的人將保持好奇心、提出問題并努力理解周圍世界。"要雇傭那些重視成長和學(xué)習(xí)的人，"他表示。

部分網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者擔(dān)憂，過度依賴AI可能加劇行業(yè)本已存在的人才短缺危機(jī)。對中小型組織而言，尋找并培養(yǎng)技術(shù)人才將愈發(fā)困難。"如果下一代安全專業(yè)人員主要接受AI使用培訓(xùn)而非批判性思考安全挑戰(zhàn)，行業(yè)可能難以培養(yǎng)推動(dòng)創(chuàng)新和韌性的資深領(lǐng)導(dǎo)者，"Hasnis警告道。

AI不應(yīng)取代編程知識(shí)

Moolchandani指出，使用AI工具編寫代碼卻未建立深厚技術(shù)基礎(chǔ)的早期從業(yè)者面臨發(fā)展停滯的高風(fēng)險(xiǎn)："中長期看，這可能限制其向需要威脅建模、可利用性分析和安全工程專業(yè)知識(shí)的高級安全角色發(fā)展。企業(yè)很可能會(huì)區(qū)分用AI增強(qiáng)技能和依賴AI彌補(bǔ)基礎(chǔ)缺陷的員工。"

專家建議組織加強(qiáng)培訓(xùn)并調(diào)整知識(shí)傳遞方式："在職培訓(xùn)應(yīng)更注重實(shí)踐，聚焦真實(shí)漏洞、利用技術(shù)和安全編碼原則，"Moolchandani強(qiáng)調(diào)。Mattson補(bǔ)充道，持續(xù)技能提升的文化能適應(yīng)任何技術(shù)變革。

Hasnis認(rèn)為培訓(xùn)應(yīng)幫助員工理解AI的優(yōu)勢與局限："通過AI驅(qū)動(dòng)效率與人工監(jiān)督相結(jié)合，企業(yè)既能利用AI優(yōu)勢，又能確保安全團(tuán)隊(duì)保持專注、專業(yè)和彈性。"他建議開發(fā)者始終質(zhì)疑AI輸出，特別是在安全敏感環(huán)境中。

O'Brien主張AI應(yīng)與人類專業(yè)知識(shí)相輔相成："企業(yè)需建立將AI視為工具的文化——它能輔助但無法取代對編程及傳統(tǒng)軟件開發(fā)部署的深入理解。"

"企業(yè)絕不能陷入用AI掩蓋專業(yè)知識(shí)不足的陷阱。"