AWS Continuum：用AI帮助企业全流程修复代码漏洞

随着智能体开发工作流的广泛普及，企业自主编写和修改的代码量正在快速增长。然而，漏洞验证、可利用性评估以及修复工作，往往仍依赖开发团队和安全团队的人工处理，效率严重滞后。

对此，亚马逊云科技（AWS）推出了一项名为Continuum的新服务，旨在持续发现、调查并修复企业环境中的代码漏洞，覆盖范围涵盖企业自有代码和第三方代码。

AWS安全与可观测性副总裁切特·卡普尔（Chet Kapoor）在博客文章中介绍，与传统安全工具仅生成告警不同，Continuum的目标是推动安全发现贯穿完整的修复生命周期。针对企业自有应用，Continuum可分析代码、验证漏洞是否可被利用、生成修复建议，并通过现有软件开发工作流提出可供审查的修复方案，从而减少安全团队逐一人工排查的负担。

在用户认为Continuum已充分了解其环境并掌握相应限制条件后，可启用AWS所称的"强制执行模式"，由系统自主修复代码缺陷。

Continuum的部分能力来自现有服务Security Agent，包括渗透测试和代码扫描功能；此外还新增了威胁建模功能，可自动从源代码或设计文档中生成威胁模型，并以STRIDE格式输出。

HFS Research副研究主任阿克沙特·泰亚吉（Akshat Tyagi）表示："现在更难的问题已不再是发现问题，而是判断哪些是真实漏洞、哪些在特定环境中真正有影响、哪些需要优先修复。围绕仪表盘和人工分类构建的传统工作流难以应对这样的规模。仪表盘能展示积压情况，但无法验证发现、评估业务影响或协助修复。"他认为，Continuum的价值在于"不只是更多检测，而是用AI对风险发现进行优先级排序、提出缓解建议，并在将高风险决策控制权保留给人类的同时，支持更快速地采取行动"。

IT咨询公司Kanerika首席分析官阿米特·钱达克（Amit Chandak）指出，加快行动速度正变得愈发关键——攻击者正在获取与企业用于加速软件开发和安全测试相同的AI能力，"从漏洞披露到可用漏洞利用程序出现的时间窗口，正在从数月迅速压缩至数小时"。

Continuum虽然可以减少开发人员和SRE的重复性工作，但也可能为首席信息安全官（CISO）带来围绕自动化行为的治理、监督、测试和边界维护等新职责。

泰亚吉表示："Continuum改变了CISO的角色——从管理发现问题，转变为治理问题如何被处理。工作重心将转向制定规则：哪些可以自动化、哪些需要人工审批、生产环境中可接受的风险等级是什么。人员配置也将随之调整——人工分类工作可能减少，但需要更多能够审查AI生成修复方案、设定限制条件、并能判断何时不该信任系统的人才。"

钱达克则表示，在Continuum仍处于限量预览阶段的当下，并不认为该服务会立即导致人员缩减。他同时指出，大多数企业的数据与治理实践尚未准备好实现完全自主的漏洞修复，"AWS的渐进式信任设计——让企业自主选择自动化程度，从人工介入到完全自动修复——正是对这一现实的承认"。

在第三方代码漏洞分析方面，企业通常可见度和控制力都相对有限，Continuum同样有望提供帮助。泰亚吉表示："大多数第三方漏洞告警都是噪音。工具可能会标记出存在漏洞的库，但真正的问题是这段有漏洞的代码是否实际在生产环境中被调用。如果Continuum能回答这个问题，就能帮助团队聚焦于真正重要的少数问题。这对开源软件和软件供应链风险管理尤为有价值。"

不过他也提醒，Continuum对第三方代码可能无法直接提供修复："通常无法自行修补第三方代码，因为你并不拥有它，所以针对第三方的修复意味着版本锁定或补偿性控制措施。"

Q&A

Q1：AWS Continuum是什么？它能解决什么问题？

A：AWS Continuum是亚马逊云科技推出的一项新服务，专注于持续发现、调查和修复企业环境中的代码漏洞，涵盖企业自有代码和第三方代码。它不只生成告警，而是推动安全发现贯穿完整修复生命周期，通过AI验证漏洞可利用性、生成修复建议，帮助企业在AI编码工具提速的同时保持代码安全。

Q2：AWS Continuum的"强制执行模式"是什么意思？

A：当用户认为Continuum已充分了解其环境并掌握相关限制条件后，可启用"强制执行模式"，由系统自主识别并修复代码缺陷，无需人工逐一审批。这是AWS渐进式信任设计的一部分，企业可根据自身数据与治理成熟度，自主选择从人工介入到完全自动修复的不同自动化程度。

Q3：AWS Continuum如何处理第三方代码的漏洞？

A：Continuum可以帮助企业判断第三方库中存在漏洞的代码是否实际在生产环境中被调用，从而过滤噪音，聚焦于真正有影响的问题，对开源依赖和软件供应链风险管理尤为有价值。但由于企业不拥有第三方代码，Continuum无法直接修补，通常需要通过版本锁定或补偿性控制措施来降低风险。