根据Venafi的调查,92%的安全领导者对其企业内利用AI天生的代码表示担忧。
安全团队与开拓团队之间的紧张关系
83%的安全领导者表示,他们的开拓职员目前利用AI天生代码,个中57%称这种做法已成为常态,然而,72%的人认为,他们别无选择,只能许可开拓职员利用AI来保持竞争力,而63%的人则由于安全风险,曾考虑禁止在编码中利用AI。
66%的受访者表示,安全团队无法跟上由AI驱动的开拓职员的步伐。结果,安全领导者感到他们正在失落去掌握,企业恰是以面临风险。78%的人相信AI天生的代码将导致安全危急,59%的人因AI的安全隐患而夜不能寐。
63%的安全领导者认为,在企业内无法有效管理AI的安全利用,由于他们无法清晰理解AI的详细利用位置。只管存在这些担忧,47%的公司已经制订了确保在开拓环境中安全利用AI的政策。
Venafi的首席创新官Kevin Bocek表示:“安全团队陷入了两难田地,处在一个由AI编写代码的新时期。开拓职员已经通过AI得到极大增强,他们不会放弃这种‘超能力’。同时,攻击者正在渗透我们的军队——最近在开源项目中的长期干预,以及朝鲜对IT领域的渗透,仅仅是冰山一角。”
Bocek补充道:“如今任何拥有大型措辞模型(LLM)的人都可以编写代码,这打开了一个全新的战线。代码才是关键,不管是你们的开拓职员利用AI超速编写的代码,还是外部代理渗透的代码,或者是某位财务职员利用从谁都不清楚的演习数据天生的LLM代码。因此,代码至关主要!我们必须验证代码的来源。”
安全领导者对AI天生代码的紧张担忧
当谈到开拓职员利用AI编写或天生代码时,安全领导者提出了三大紧张担忧:
1. 开拓职员可能过度依赖AI,导致标准低落
2. AI编写的代码不会被有效地进行质量检讨
3. AI可能会利用过期且掩护不善的开源库
研究还指出,AI利用开源不仅给安全团队带来了寻衅:
开源的过度利用:
安全领导者估计,均匀61%的运用程序利用开源代码。这种对开源的过度依赖可能带来潜在风险,由于86%的受访者认为,开源代码在开拓者中更看重速率,而非安全最佳实践。
令人困扰的验证问题:
90%的安全领导者信赖开源库中的代码,个中43%表示完备信赖,然而,75%的人认为不可能验证每一行开源代码的安全性。因此,92%的安全领导者认为,该当利用代码署名来确保开源代码的可信性。
Venafi的首席创新官Kevin Bocek补充道:“最近的CrowdStrike宕机事宜显示了代码从开拓者迅速传播到环球危急的影响。如今,代码可以来自任何地方,包括AI和外部代理。未来只会有更多的代码来源,而不是更少。基于身份验证代码、运用程序和事情负载,确保它们没有被修正且被批准利用,是我们本日和未来最好的选择。我们该当把CrowdStrike宕机事宜视为未来寻衅的完美例子,而不是有时的个例。”
掩护代码署名的信赖链可以帮助企业防止未经授权的代码实行,同时也能扩大操作规模,以跟上开拓职员利用AI和开源技能的步伐。
Bocek总结道:“在一个AI和开源既强大又不可预测的天下里,代码署名成为企业的根本防线,但要让这种防护生效,代码署名过程必须既强大又安全,这不仅仅是阻挡恶意代码的问题——企业须要确保每一行代码都来自可信的来源,并验证数字署名,确保自署名以来没有任何修改。好是,代码署名险些无处不在——坏是,它每每没有得到安全团队的充分保护,而这些团队本可以帮助确保其安全性。”