每當(dāng)ChatGPT等工具出現(xiàn)故障時(shí)，軟件開(kāi)發(fā)人員離開(kāi)辦公桌、休息片刻或沮喪地靠在椅背上，都不足為奇。對(duì)于技術(shù)領(lǐng)域的許多專(zhuān)業(yè)人士而言，AI輔助的編碼工具已成為一種便利。甚至像2025年3月24日發(fā)生的短暫故障，也可能使開(kāi)發(fā)工作陷入停滯。

一位Reddit用戶(hù)寫(xiě)道：“是時(shí)候泡杯咖啡，在陽(yáng)光下坐15分鐘了。”另一位回復(fù)道：“同上?！?/p>

在包括網(wǎng)絡(luò)安全領(lǐng)域在內(nèi)的技術(shù)人員中，對(duì)ChatGPT等GenAI工具的過(guò)度依賴(lài)正在穩(wěn)步增長(zhǎng)。這些工具正在改變開(kāi)發(fā)人員編寫(xiě)代碼、解決問(wèn)題、學(xué)習(xí)和思考的方式——通常能提高短期效率，然而，這種轉(zhuǎn)變是有代價(jià)的：開(kāi)發(fā)人員可能會(huì)削弱其編碼和批判性思維能力，這最終會(huì)對(duì)他們及其所在企業(yè)產(chǎn)生長(zhǎng)期影響。

“我們觀察到一種趨勢(shì)，即初級(jí)專(zhuān)業(yè)人員，特別是剛進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域的專(zhuān)業(yè)人員，在系統(tǒng)層面的深入理解方面存在困難，”Tuskira的聯(lián)合創(chuàng)始人兼CISO/首席產(chǎn)品官(CPO)Om Moolchandani說(shuō)道。“許多人能夠生成功能代碼片段，但難以解釋其背后的邏輯或針對(duì)真實(shí)攻擊場(chǎng)景對(duì)其進(jìn)行保護(hù)?！?/p>

微軟最近的一項(xiàng)調(diào)查支持了Moolchandani的觀察結(jié)果，該調(diào)查強(qiáng)調(diào)，依賴(lài)AI完成部分工作的員工往往不太愿意深入質(zhì)疑、分析和評(píng)估自己的工作，尤其是當(dāng)他們信任AI會(huì)提供準(zhǔn)確結(jié)果時(shí)。“在使用GenAI工具時(shí)，批判性思維所投入的努力從信息收集轉(zhuǎn)變?yōu)樾畔Ⅱ?yàn)證;從問(wèn)題解決轉(zhuǎn)變?yōu)锳I響應(yīng)集成;從任務(wù)執(zhí)行轉(zhuǎn)變?yōu)槿蝿?wù)管理，”該論文寫(xiě)道。

隨著AI代碼生成器改變開(kāi)發(fā)人員的工作方式，它們也在重塑企業(yè)的運(yùn)作方式。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者面臨的挑戰(zhàn)是如何利用這項(xiàng)技術(shù)，同時(shí)又不犧牲批判性思維、創(chuàng)造力和解決問(wèn)題的能力——這些正是開(kāi)發(fā)人員出類(lèi)拔萃的技能。

短期收獲，長(zhǎng)期風(fēng)險(xiǎn)

一些CISO擔(dān)心對(duì)AI代碼生成器的依賴(lài)日益增長(zhǎng)——尤其是在初級(jí)開(kāi)發(fā)人員中——而另一些人則采取更輕松、觀望的態(tài)度，認(rèn)為這可能是一個(gè)未來(lái)的問(wèn)題，而不是當(dāng)前的威脅。Endor Labs的CISO Karl Mattson認(rèn)為，在大多數(shù)大型企業(yè)中，AI的采用仍處于初級(jí)階段，實(shí)驗(yàn)的好處仍然大于風(fēng)險(xiǎn)。

“我還沒(méi)有看到明確的證據(jù)表明，對(duì)AI的依賴(lài)會(huì)導(dǎo)致基礎(chǔ)編碼技能廣泛下降，”他說(shuō)。“目前，我們正處于一個(gè)充滿(mǎn)創(chuàng)意樂(lè)觀主義、原型設(shè)計(jì)和AI早期成功的階段。核心基礎(chǔ)技能的下降仍感覺(jué)遙遙無(wú)期?！?/p>

其他人已經(jīng)看到了過(guò)度依賴(lài)AI工具編寫(xiě)代碼帶來(lái)的一些影響。耶魯隱私實(shí)驗(yàn)室創(chuàng)始人、PrivacySave的CEO兼創(chuàng)始人Sean O’Brien對(duì)日益依賴(lài)GenAI表示強(qiáng)烈擔(dān)憂(yōu)。那些嚴(yán)重依賴(lài)ChatGPT或低代碼平臺(tái)等AI驅(qū)動(dòng)工具的開(kāi)發(fā)人員“通常會(huì)鼓勵(lì)一種‘氛圍編碼’的心態(tài)，他們更關(guān)注于讓某些東西運(yùn)行起來(lái)，而不是真正理解它是如何或?yàn)槭裁催\(yùn)行的，”O(jiān)’Brien說(shuō)。

Cynet的CTO Aviad Hasnis也感到擔(dān)憂(yōu)，尤其是在初級(jí)專(zhuān)業(yè)人員身上，他們“嚴(yán)重依賴(lài)AI生成的代碼，卻沒(méi)有完全掌握其底層邏輯?！睋?jù)他介紹，這種過(guò)度依賴(lài)對(duì)個(gè)人和企業(yè)都帶來(lái)了多重挑戰(zhàn)?！熬W(wǎng)絡(luò)安全工作需要批判性思維、故障排除能力和評(píng)估AI模型建議之外風(fēng)險(xiǎn)的能力，”他說(shuō)。

雖然依賴(lài)AI代碼生成器可以提供快速解決方案和短期收益，但隨著時(shí)間的推移，這種依賴(lài)可能會(huì)適得其反?！耙虼?，當(dāng)AI系統(tǒng)不可用或不足時(shí)，開(kāi)發(fā)人員可能難以適應(yīng)，從長(zhǎng)遠(yuǎn)來(lái)看，這可能會(huì)使他們作為創(chuàng)新者和技術(shù)專(zhuān)家的能力失效，”DH2i的首席技術(shù)官兼聯(lián)合創(chuàng)始人Oj Ngo說(shuō)道。

盲點(diǎn)、合規(guī)性和許可違規(guī)的風(fēng)險(xiǎn)

隨著GenAI越來(lái)越深入地融入軟件開(kāi)發(fā)和安全工作流中，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者對(duì)其可能引入的盲點(diǎn)提出了擔(dān)憂(yōu)。

“AI可以生成看似安全的代碼，但它缺乏對(duì)企業(yè)威脅模型、合規(guī)需求和對(duì)抗性風(fēng)險(xiǎn)環(huán)境的上下文感知，”Moolchandani說(shuō)。

Tuskira的CISO列出了兩大問(wèn)題：首先，AI生成的安全代碼可能無(wú)法針對(duì)不斷演變的攻擊技術(shù)進(jìn)行加固;其次，它可能無(wú)法反映企業(yè)的特定安全環(huán)境和需求。此外，AI生成的代碼可能會(huì)給人一種虛假的安全感，因?yàn)殚_(kāi)發(fā)人員，尤其是缺乏經(jīng)驗(yàn)的開(kāi)發(fā)人員，通常默認(rèn)認(rèn)為它是安全的。

此外，與合規(guī)性和許可條款或監(jiān)管標(biāo)準(zhǔn)違規(guī)相關(guān)的風(fēng)險(xiǎn)也可能導(dǎo)致后續(xù)的法律問(wèn)題。“許多AI工具，特別是那些基于開(kāi)源代碼庫(kù)生成代碼的工具，可能會(huì)不小心將未經(jīng)審查、許可不當(dāng)甚至惡意代碼引入您的系統(tǒng)，”O(jiān)’Brien說(shuō)。

例如，開(kāi)源許可通常對(duì)歸屬、再分發(fā)和修改有具體要求，而依賴(lài)AI生成的代碼可能意味著意外違反這些許可?！斑@在為網(wǎng)絡(luò)安全工具開(kāi)發(fā)軟件的上下文中尤其危險(xiǎn)，因?yàn)樽袷亻_(kāi)源許可不僅是法律義務(wù)，而且影響安全態(tài)勢(shì)，”O(jiān)’Brien補(bǔ)充道。“無(wú)意中違反知識(shí)產(chǎn)權(quán)法或引發(fā)法律責(zé)任的風(fēng)險(xiǎn)很大?！?/p>

從技術(shù)的角度來(lái)看，Digital.ai的首席技術(shù)官Wing To指出，不應(yīng)將AI生成的代碼視為萬(wàn)能藥?！癆I生成的代碼在安全和其他領(lǐng)域的主要挑戰(zhàn)在于，相信其質(zhì)量比人類(lèi)生成的代碼更好，”他說(shuō)?！癆I生成的代碼存在包含漏洞、錯(cuò)誤、受保護(hù)的知識(shí)產(chǎn)權(quán)和其他隱藏在訓(xùn)練數(shù)據(jù)中的質(zhì)量問(wèn)題。”

AI生成代碼的興起進(jìn)一步強(qiáng)化了企業(yè)在軟件開(kāi)發(fā)和交付方面采用最佳實(shí)踐的需求。這包括一致地應(yīng)用獨(dú)立的代碼審查，以及實(shí)施具有自動(dòng)化質(zhì)量和安全檢查功能的強(qiáng)大持續(xù)集成/持續(xù)部署(CI/CD)流程。

改變招聘流程

既然GenAI已成定局，CISO及其服務(wù)的企業(yè)便不能再忽視其影響。在這種新常態(tài)下，有必要設(shè)置防護(hù)欄，以促進(jìn)批判性思維，培養(yǎng)對(duì)代碼的深入理解，并加強(qiáng)所有參與編寫(xiě)代碼的團(tuán)隊(duì)的問(wèn)責(zé)制。

Moolchandani說(shuō)，公司在招聘經(jīng)驗(yàn)較少的專(zhuān)業(yè)人員時(shí)，也應(yīng)該重新考慮如何評(píng)估技術(shù)技能。“代碼測(cè)試可能不再足夠——需要更加關(guān)注安全推理、架構(gòu)和對(duì)抗性思維?！?/p>

在DH2i的招聘過(guò)程中，Ngo表示他們會(huì)評(píng)估候選人對(duì)AI的依賴(lài)程度，以判斷其批判性思維和獨(dú)立工作的能力?！半m然我們認(rèn)識(shí)到AI在提高生產(chǎn)力方面的價(jià)值，但我們更傾向于雇用擁有扎實(shí)基礎(chǔ)技能的員工，這樣他們就能有效地將AI作為工具使用，而不是依賴(lài)它作為拐杖?！?/p>

紐約大學(xué)全球CIO Don Welch有類(lèi)似的觀點(diǎn)，并補(bǔ)充說(shuō)，那些將在這個(gè)新范式中茁壯成長(zhǎng)的人將是那些保持好奇心、提出問(wèn)題并盡力了解周?chē)澜绲娜??！耙陀媚切┲匾暢砷L(zhǎng)和學(xué)習(xí)的人，”Welch說(shuō)。

一些網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者擔(dān)心，過(guò)度依賴(lài)AI可能會(huì)加劇該行業(yè)已經(jīng)面臨的人才短缺危機(jī)。對(duì)于中小型企業(yè)而言，找到熟練人才并幫助他們成長(zhǎng)可能會(huì)變得越來(lái)越困難?！叭绻乱淮踩珜?zhuān)業(yè)人員主要接受的是如何使用AI的培訓(xùn)，而不是批判性地思考安全挑戰(zhàn)，那么該行業(yè)可能會(huì)難以培養(yǎng)出推動(dòng)創(chuàng)新和韌性的經(jīng)驗(yàn)豐富的領(lǐng)導(dǎo)者，”Hasnis說(shuō)。

GenAI不能取代編碼知識(shí)

使用AI工具編寫(xiě)代碼而沒(méi)有深厚技術(shù)基礎(chǔ)的早期職業(yè)專(zhuān)業(yè)人員面臨著停滯不前的高風(fēng)險(xiǎn)。他們可能不了解攻擊向量、系統(tǒng)內(nèi)部或安全軟件設(shè)計(jì)，Moolchandani說(shuō)?！皬闹虚L(zhǎng)期來(lái)看，這可能會(huì)限制他們成長(zhǎng)為高級(jí)安全角色，而在這些角色中，威脅建模、可利用性分析和安全工程方面的專(zhuān)業(yè)知識(shí)至關(guān)重要。公司很可能會(huì)區(qū)分那些用AI增強(qiáng)技能的人和那些依賴(lài)AI來(lái)彌補(bǔ)基礎(chǔ)差距的人?！?/p>

Moolchandani和其他人建議企業(yè)增加培訓(xùn)力度并調(diào)整知識(shí)傳授方法?！霸诼毰嘤?xùn)必須更加注重實(shí)踐，專(zhuān)注于真實(shí)世界的漏洞、利用技術(shù)和安全編碼原則，”他說(shuō)。

Mattson表示，企業(yè)應(yīng)更多地關(guān)注幫助員工獲得未來(lái)的相關(guān)技能。技術(shù)將快速發(fā)展，僅憑培訓(xùn)項(xiàng)目可能不足以跟上步伐?！暗珜?duì)任何變化而言，持續(xù)技能改進(jìn)的文化都是持久的，”Mattson補(bǔ)充道。

這些培訓(xùn)項(xiàng)目應(yīng)幫助員工了解AI的優(yōu)缺點(diǎn)，學(xué)習(xí)何時(shí)依賴(lài)這些工具以及何時(shí)必須進(jìn)行人工干預(yù)，Hasnis說(shuō)。“通過(guò)將AI驅(qū)動(dòng)的效率與人工監(jiān)督相結(jié)合，公司可以利用AI的力量，同時(shí)確保其安全團(tuán)隊(duì)保持專(zhuān)注、熟練和具有韌性，”他說(shuō)。他建議開(kāi)發(fā)人員始終質(zhì)疑AI輸出，特別是在安全敏感環(huán)境中。

O’Brien也認(rèn)為AI應(yīng)與人類(lèi)專(zhuān)業(yè)知識(shí)相結(jié)合。“公司需要營(yíng)造一種文化，即將AI視為一種工具：一種可以提供幫助但不能取代對(duì)編程和傳統(tǒng)軟件開(kāi)發(fā)及部署深入理解的工具，”他說(shuō)。

“至關(guān)重要的是，公司不要陷入僅僅使用AI來(lái)彌補(bǔ)專(zhuān)業(yè)知識(shí)不足的陷阱。”