AI 在軟體開發中的誘惑與風險
AI 工具在軟體開發中的採用率日益增加,大約 76% 的開發人員目前正在使用或計劃採用 AI 工具,這凸顯了迫切需要解決與許多 AI 模型相關的、有據可查的安全風險。DeepSeek 由於其高度可訪問性和快速採用率,呈現出特別具有挑戰性的潛在威脅媒介。它最初的吸引力源於它能夠生成高質量、功能性的程式碼,通過其專有的 DeepSeek Coder 工具超越其他開源 LLM。
揭露 DeepSeek 的安全缺陷
然而,在令人印象深刻的功能的表面之下,隱藏著嚴重的安全問題。網路安全公司發現 DeepSeek 包含能夠將用戶信息直接傳輸到可能受外國政府控制的伺服器的後門。僅這一點就引發了重大的國家安全警報。但問題還不止於此。
DeepSeek 的漏洞包括:
- 惡意軟體生成: DeepSeek 可以輕鬆用於創建惡意軟體,這是一個主要問題。
- 越獄弱點: 該模型表現出對越獄嘗試的顯著漏洞,允許用戶繞過內置的安全限制。
- 過時的密碼學: 使用過時的密碼技術使 DeepSeek 容易受到敏感數據洩露的影響。
- SQL 注入漏洞: 據報導,該模型容易受到 SQL 注入攻擊,這是一種常見的 Web 安全漏洞,可以允許攻擊者未經授權訪問數據庫。
這些漏洞,加上當前 LLM 從安全角度來看通常還沒有準備好進行程式碼自動化(如 Baxbench 研究所示)的更廣泛發現,為 DeepSeek 的企業使用描繪了一幅令人擔憂的圖景。
生產力的雙刃劍
DeepSeek 的功能和免費使用強大功能提供了一個誘人的提議。然而,這種可訪問性也增加了後門或漏洞滲透企業程式碼庫的風險。雖然熟練的開發人員利用 AI 可以顯著提高生產力,以更快的速度生成高質量的程式碼,但對於技能較低的開發人員來說情況則不同。
令人擔憂的是,技能較低的開發人員雖然實現了類似的生產力和產出水平,但可能會無意中將大量劣質、可能被利用的程式碼引入程式碼庫。未能有效管理這種開發人員風險的企業很可能成為首批體驗負面後果的企業。
CISO 的當務之急:建立 AI 護欄
首席信息安全官 (CISO) 面臨著一個關鍵挑戰:即使面對可能不明確或不斷發展的立法,也要實施適當的 AI 護欄並批准安全的工具。如果不這樣做,可能會導致安全漏洞迅速湧入其組織的系統。
前進的道路:減輕風險
安全領導者應優先考慮以下步驟來解決與 DeepSeek 等 AI 工具相關的風險:
1. 嚴格的內部 AI 政策
這至關重要,而不是建議。公司必須超越關於 AI 安全性的理論討論,並實施具體的政策。這包括:
- 徹底調查: 嚴格檢查可用的 AI 工具,以了解其功能和局限性。
- 全面測試: 進行廣泛的安全測試,以識別漏洞和潛在風險。
- 選擇性批准: 僅批准一組有限的 AI 工具,這些工具符合嚴格的安全標準並符合組織的風險承受能力。
- 明確的部署指南: 根據已建立的 AI 政策,制定明確的指南,說明如何在組織內安全地部署和使用已批准的 AI 工具。
2. 為開發人員定制安全學習路徑
由於 AI,軟體開發的格局正在發生快速變化。開發人員需要適應並獲得新技能,以應對與 AI 驅動的編碼相關的安全挑戰。這需要:
- 有針對性的培訓: 為開發人員提供專門針對使用 AI 編碼助手的安全影響的培訓。
- 特定語言和框架的指導: 提供有關如何識別和減輕其經常使用的特定編程語言和框架中的漏洞的指導。
- 持續學習: 鼓勵持續學習和適應的文化,以領先於不斷變化的威脅形勢。
3. 擁抱威脅建模
許多企業仍然難以有效地實施威脅建模,通常未能讓開發人員參與其中。這種情況需要改變,尤其是在 AI 輔助編碼的時代。
- 無縫集成: 威脅建模應該無縫集成到軟體開發生命週期中,而不是事後才考慮。
- 開發人員參與: 開發人員應積極參與威脅建模過程,貢獻他們的專業知識並更深入地了解潛在的安全風險。
- AI 特定的考慮因素: 威脅建模應專門解決 AI 編碼助手引入的獨特風險,例如生成不安全程式碼或引入漏洞的可能性。
- 定期更新: 應定期更新威脅模型,以反映威脅形勢的變化和 AI 工具不斷發展的功能。
通過採取這些積極主動的措施,企業可以利用 AI 在軟體開發中的優勢,同時減輕與 DeepSeek 等工具相關的重大安全風險。未能應對這些挑戰可能會產生嚴重後果,包括數據洩露和系統受損,以及聲譽受損和財務損失。現在是採取果斷行動的時候了。安全軟體開發的未來取決於此。AI 工具的快速採用需要對安全採取積極主動和警惕的方法。