Veracode发布了年度软件安全状况报告,基于其云平台上160万个应用程序的测试数据,发现新创建的漏洞比修复的漏洞更多,而使用生成式AI的高速开发正在使全面的安全保障变得无法实现。
该公司将安全债务定义为"超过一年未解决的已知漏洞",认为这一问题现在影响了82%的公司,比一年前的74%有所上升。高风险漏洞(指既严重又可能被利用的缺陷)从8.3%上升到11.3%。这些数据来自静态分析(代码分析)、动态分析(测试运行时行为)、软件成分分析(检查软件组件如库依赖项)和手动渗透测试的综合结果。
不过也有一些好消息。具有开源漏洞的应用程序数量从70%减少到62%,整体"缺陷普遍率"从80%下降到78%。
研究人员指出,测试工具使用的增加是导致数字上升的因素之一,这表明数字恶化的一个原因是发现了更多以前可能被遗漏的问题。由于误报数量未知,实际情况可能没有数字显示的那么糟糕。
然而,根据Veracode的说法,软件发布节奏的加快也导致新代码的添加速度超过了现有漏洞的解决速度。研究人员还看到技术复杂性不断增长,这归因于更多AI生成的代码,使得修复变得更加困难。
确定生成式AI的影响很困难,因为这家软件安全公司也表示,AI工具可以帮助识别漏洞并自动化修复。研究人员指出,恶意行为者可能通过AI渗透工具获得成功,或通过提示注入等技术操控模型。
Veracode对AI工具的人工监督重要性做出了常规表态,尽管这具体意味着什么还不确定。例如在Cloudflare最新的AI编程项目中,一个重要的应用程序在一周内构建完成,大部分代码没有经过人工审查,这似乎不可避免地会导致安全被忽视,或者在明知存在缺陷的情况下主要委托给生成式AI。AI工具也擅长产生误报,为人工代码审查员创造了可能难以管理的负担。
"AI时代的开发速度使得全面的安全保障无法实现,"报告指出,这是一个令人沮丧的结论。此外,"修复差距已达到危机程度;渐进式改进不足够;需要变革性变化。"
确定应该进行什么样的变革是困难的;有人怀疑行业会推广更多的AI工具作为解决方案,尽管像这份报告这样的证据表明,目前AI并未能改善情况。
Q&A
Q1:什么是安全债务?目前有多少公司受到影响?
A:安全债务是指超过一年未解决的已知漏洞。根据Veracode的报告,这一问题现在影响了82%的公司,比一年前的74%有所上升。
Q2:为什么AI驱动的开发会增加安全风险?
A:AI驱动的开发加快了软件发布节奏,导致新代码添加速度超过现有漏洞的解决速度。同时,更多AI生成的代码增加了技术复杂性,使得漏洞修复变得更加困难。
Q3:软件安全状况报告显示了哪些积极变化?
A:报告显示具有开源漏洞的应用程序数量从70%减少到62%,整体缺陷普遍率从80%下降到78%,这些都是积极的变化。
好文章,需要你的鼓励
海外博主做了一次 Siri AI、ChatGPT、Claude 横评。看完之后我最大的感受是,AI 助手的竞争已经不只是模型能力,而是谁离用户更近。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。
Uber年度失物报告首次纳入无人驾驶出租车数据。过去一年,乘客在Uber平台的机器人出租车中遗留了数千件物品,包括手机、钥匙、钱包等常见物品,以及假牙、15磅溜溜球等奇特物件。乘客可通过App联系客服找回失物,支付15美元即可享受同城配送,或前往车辆停放站自取。Uber表示,将依托现有运营体系为自动驾驶业务提供全面支持,计划2025年底前在全球15座城市开通无人驾驶打车服务。
TREK方法通过引入外部验证解法对AI进行短期校准,解决了GRPO训练在困难题目上因无法探索正确解法区域而陷入瓶颈的问题,在数学推理和智能体任务上均取得明显提升。