AI生成代码正在给安全团队带来新挑战

企业利用AI编写代码所引发的安全风险日益凸显，而许多组织尚未做好充分应对的准备。这是安全测试公司ProjectDiscovery于近日发布的一份报告中的核心发现。

报告指出，安全人员在将AI纳入工作流程之前，需要完善的审计追踪机制和严格的访问权限管控。"他们并不排斥这项技术，但这项技术必须先证明自身的价值。"

这份报告揭示了当前企业AI变革中最为棘手的矛盾之一：借助AI辅助编程的开发人员，与负责保护这些代码安全的安全团队之间，正面临日益加剧的张力。

"大量AI生成的代码正在涌向安全团队，而这股浪潮的增速已经超出了大多数组织的承受能力，"ProjectDiscovery在报告中写道，"工程团队正以前所未有的速度交付产品，而安全团队正处于这股浪潮的正面冲击之下。"

调查结果显示，在因AI导致代码审查量大幅增加的背景下，仅有38%的网络安全从业者表示能够较好地应对当前的工作量，近60%的受访者认为这项工作的难度正在持续上升。与大型企业的同行相比，中型企业的安全人员感受到了更大的压力，这或许反映出大型企业在安全资源投入方面具有更强的实力。

本报告基于对北美和西欧地区200名中大型企业网络安全专业人员的问卷调查。ProjectDiscovery表示，近半数受访者从事安全架构工作，超过半数在"安全产品的遴选或审批"环节中扮演重要角色。

在AI辅助编程引发的安全隐患方面，受访者普遍担忧多个方面：企业机密数据泄露（78%的受访者将其列为首要隐患）、因不可靠依赖项引发的供应链安全风险（73%），以及"业务逻辑漏洞"（72%）——即应用程序设计缺陷可能使黑客得以滥用合法功能。

在探讨机密数据泄露问题时，ProjectDiscovery援引了2025年美国国家网络安全联盟发布的一份报告。该报告显示，43%的员工承认曾将公司敏感数据输入AI工具。

在机密数据泄露的关注程度上，欧洲受访者明显高于美国同行（87%对72%），这一差异或与欧盟《通用数据保护条例》（GDPR）对数据隐私的严格要求密切相关。

Q&A

Q1：AI生成的代码为什么会给安全团队带来麻烦？

A：AI辅助编程大幅加快了代码交付速度，但安全团队的审查能力却未能同步跟上。报告显示，仅38%的网络安全从业者表示能较好应对激增的代码审查量，近60%的人认为难度在持续上升。AI生成的代码可能存在企业机密泄露、供应链依赖风险以及业务逻辑漏洞等多种安全隐患，这些问题叠加在一起，给安全团队带来了巨大的工作压力。

Q2：使用AI编写代码会面临哪些具体的安全风险？

A：根据ProjectDiscovery的报告，主要风险涵盖三类：一是企业机密数据泄露（78%受访者关注），即员工在使用AI工具时可能无意间输入敏感信息；二是供应链安全风险（73%），源于AI生成代码中可能引用不可靠的依赖项；三是业务逻辑漏洞（72%），即应用设计层面的缺陷可能被黑客利用来滥用系统的合法功能。

Q3：欧洲和美国的安全从业者对AI代码安全的担忧有什么不同？

A：在机密数据泄露这一问题上，欧洲受访者的担忧程度明显高于美国同行，比例分别为87%和72%。这一差异可能与欧盟《通用数据保护条例》（GDPR）对数据隐私的严格监管要求有关，使得欧洲安全从业者对AI工具可能导致的数据合规风险更为敏感。