每當ChatGPT等工具出現(xiàn)故障時，軟件開發(fā)人員離開辦公桌、休息片刻或沮喪地靠在椅背上，都不足為奇。對于技術領域的許多專業(yè)人士而言，AI輔助的編碼工具已成為一種便利。甚至像2025年3月24日發(fā)生的短暫故障，也可能使開發(fā)工作陷入停滯。

一位Reddit用戶寫道：“是時候泡杯咖啡，在陽光下坐15分鐘了。”另一位回復道：“同上。”

在包括網(wǎng)絡安全領域在內(nèi)的技術人員中，對ChatGPT等GenAI工具的過度依賴正在穩(wěn)步增長。這些工具正在改變開發(fā)人員編寫代碼、解決問題、學習和思考的方式——通常能提高短期效率，然而，這種轉(zhuǎn)變是有代價的：開發(fā)人員可能會削弱其編碼和批判性思維能力，這最終會對他們及其所在企業(yè)產(chǎn)生長期影響。

“我們觀察到一種趨勢，即初級專業(yè)人員，特別是剛進入網(wǎng)絡安全領域的專業(yè)人員，在系統(tǒng)層面的深入理解方面存在困難，”Tuskira的聯(lián)合創(chuàng)始人兼CISO/首席產(chǎn)品官(CPO)Om Moolchandani說道。“許多人能夠生成功能代碼片段，但難以解釋其背后的邏輯或針對真實攻擊場景對其進行保護。”

微軟最近的一項調(diào)查支持了Moolchandani的觀察結果，該調(diào)查強調(diào)，依賴AI完成部分工作的員工往往不太愿意深入質(zhì)疑、分析和評估自己的工作，尤其是當他們信任AI會提供準確結果時。“在使用GenAI工具時，批判性思維所投入的努力從信息收集轉(zhuǎn)變?yōu)樾畔Ⅱ炞C;從問題解決轉(zhuǎn)變?yōu)锳I響應集成;從任務執(zhí)行轉(zhuǎn)變?yōu)槿蝿展芾恚痹撜撐膶懙馈?/p>

隨著AI代碼生成器改變開發(fā)人員的工作方式，它們也在重塑企業(yè)的運作方式。網(wǎng)絡安全領導者面臨的挑戰(zhàn)是如何利用這項技術，同時又不犧牲批判性思維、創(chuàng)造力和解決問題的能力——這些正是開發(fā)人員出類拔萃的技能。

短期收獲，長期風險

一些CISO擔心對AI代碼生成器的依賴日益增長——尤其是在初級開發(fā)人員中——而另一些人則采取更輕松、觀望的態(tài)度，認為這可能是一個未來的問題，而不是當前的威脅。Endor Labs的CISO Karl Mattson認為，在大多數(shù)大型企業(yè)中，AI的采用仍處于初級階段，實驗的好處仍然大于風險。

“我還沒有看到明確的證據(jù)表明，對AI的依賴會導致基礎編碼技能廣泛下降，”他說。“目前，我們正處于一個充滿創(chuàng)意樂觀主義、原型設計和AI早期成功的階段。核心基礎技能的下降仍感覺遙遙無期。”

其他人已經(jīng)看到了過度依賴AI工具編寫代碼帶來的一些影響。耶魯隱私實驗室創(chuàng)始人、PrivacySave的CEO兼創(chuàng)始人Sean O’Brien對日益依賴GenAI表示強烈擔憂。那些嚴重依賴ChatGPT或低代碼平臺等AI驅(qū)動工具的開發(fā)人員“通常會鼓勵一種‘氛圍編碼’的心態(tài)，他們更關注于讓某些東西運行起來，而不是真正理解它是如何或為什么運行的，”O(jiān)’Brien說。

Cynet的CTO Aviad Hasnis也感到擔憂，尤其是在初級專業(yè)人員身上，他們“嚴重依賴AI生成的代碼，卻沒有完全掌握其底層邏輯。”據(jù)他介紹，這種過度依賴對個人和企業(yè)都帶來了多重挑戰(zhàn)。“網(wǎng)絡安全工作需要批判性思維、故障排除能力和評估AI模型建議之外風險的能力，”他說。

雖然依賴AI代碼生成器可以提供快速解決方案和短期收益，但隨著時間的推移，這種依賴可能會適得其反。“因此，當AI系統(tǒng)不可用或不足時，開發(fā)人員可能難以適應，從長遠來看，這可能會使他們作為創(chuàng)新者和技術專家的能力失效，”DH2i的首席技術官兼聯(lián)合創(chuàng)始人Oj Ngo說道。

盲點、合規(guī)性和許可違規(guī)的風險

隨著GenAI越來越深入地融入軟件開發(fā)和安全工作流中，網(wǎng)絡安全領導者對其可能引入的盲點提出了擔憂。

“AI可以生成看似安全的代碼，但它缺乏對企業(yè)威脅模型、合規(guī)需求和對抗性風險環(huán)境的上下文感知，”Moolchandani說。

Tuskira的CISO列出了兩大問題：首先，AI生成的安全代碼可能無法針對不斷演變的攻擊技術進行加固;其次，它可能無法反映企業(yè)的特定安全環(huán)境和需求。此外，AI生成的代碼可能會給人一種虛假的安全感，因為開發(fā)人員，尤其是缺乏經(jīng)驗的開發(fā)人員，通常默認認為它是安全的。

此外，與合規(guī)性和許可條款或監(jiān)管標準違規(guī)相關的風險也可能導致后續(xù)的法律問題。“許多AI工具，特別是那些基于開源代碼庫生成代碼的工具，可能會不小心將未經(jīng)審查、許可不當甚至惡意代碼引入您的系統(tǒng)，”O(jiān)’Brien說。

例如，開源許可通常對歸屬、再分發(fā)和修改有具體要求，而依賴AI生成的代碼可能意味著意外違反這些許可。“這在為網(wǎng)絡安全工具開發(fā)軟件的上下文中尤其危險，因為遵守開源許可不僅是法律義務，而且影響安全態(tài)勢，”O(jiān)’Brien補充道。“無意中違反知識產(chǎn)權法或引發(fā)法律責任的風險很大。”

從技術的角度來看，Digital.ai的首席技術官Wing To指出，不應將AI生成的代碼視為萬能藥。“AI生成的代碼在安全和其他領域的主要挑戰(zhàn)在于，相信其質(zhì)量比人類生成的代碼更好，”他說。“AI生成的代碼存在包含漏洞、錯誤、受保護的知識產(chǎn)權和其他隱藏在訓練數(shù)據(jù)中的質(zhì)量問題。”

AI生成代碼的興起進一步強化了企業(yè)在軟件開發(fā)和交付方面采用最佳實踐的需求。這包括一致地應用獨立的代碼審查，以及實施具有自動化質(zhì)量和安全檢查功能的強大持續(xù)集成/持續(xù)部署(CI/CD)流程。

改變招聘流程

既然GenAI已成定局，CISO及其服務的企業(yè)便不能再忽視其影響。在這種新常態(tài)下，有必要設置防護欄，以促進批判性思維，培養(yǎng)對代碼的深入理解，并加強所有參與編寫代碼的團隊的問責制。

Moolchandani說，公司在招聘經(jīng)驗較少的專業(yè)人員時，也應該重新考慮如何評估技術技能。“代碼測試可能不再足夠——需要更加關注安全推理、架構和對抗性思維。”

在DH2i的招聘過程中，Ngo表示他們會評估候選人對AI的依賴程度，以判斷其批判性思維和獨立工作的能力。“雖然我們認識到AI在提高生產(chǎn)力方面的價值，但我們更傾向于雇用擁有扎實基礎技能的員工，這樣他們就能有效地將AI作為工具使用，而不是依賴它作為拐杖。”

紐約大學全球CIO Don Welch有類似的觀點，并補充說，那些將在這個新范式中茁壯成長的人將是那些保持好奇心、提出問題并盡力了解周圍世界的人。“要雇用那些重視成長和學習的人，”Welch說。

一些網(wǎng)絡安全領導者擔心，過度依賴AI可能會加劇該行業(yè)已經(jīng)面臨的人才短缺危機。對于中小型企業(yè)而言，找到熟練人才并幫助他們成長可能會變得越來越困難。“如果下一代安全專業(yè)人員主要接受的是如何使用AI的培訓，而不是批判性地思考安全挑戰(zhàn)，那么該行業(yè)可能會難以培養(yǎng)出推動創(chuàng)新和韌性的經(jīng)驗豐富的領導者，”Hasnis說。

GenAI不能取代編碼知識

使用AI工具編寫代碼而沒有深厚技術基礎的早期職業(yè)專業(yè)人員面臨著停滯不前的高風險。他們可能不了解攻擊向量、系統(tǒng)內(nèi)部或安全軟件設計，Moolchandani說。“從中長期來看，這可能會限制他們成長為高級安全角色，而在這些角色中，威脅建模、可利用性分析和安全工程方面的專業(yè)知識至關重要。公司很可能會區(qū)分那些用AI增強技能的人和那些依賴AI來彌補基礎差距的人。”

Moolchandani和其他人建議企業(yè)增加培訓力度并調(diào)整知識傳授方法。“在職培訓必須更加注重實踐，專注于真實世界的漏洞、利用技術和安全編碼原則，”他說。

Mattson表示，企業(yè)應更多地關注幫助員工獲得未來的相關技能。技術將快速發(fā)展，僅憑培訓項目可能不足以跟上步伐。“但對任何變化而言，持續(xù)技能改進的文化都是持久的，”Mattson補充道。

這些培訓項目應幫助員工了解AI的優(yōu)缺點，學習何時依賴這些工具以及何時必須進行人工干預，Hasnis說。“通過將AI驅(qū)動的效率與人工監(jiān)督相結合，公司可以利用AI的力量，同時確保其安全團隊保持專注、熟練和具有韌性，”他說。他建議開發(fā)人員始終質(zhì)疑AI輸出，特別是在安全敏感環(huán)境中。

O’Brien也認為AI應與人類專業(yè)知識相結合。“公司需要營造一種文化，即將AI視為一種工具：一種可以提供幫助但不能取代對編程和傳統(tǒng)軟件開發(fā)及部署深入理解的工具，”他說。

“至關重要的是，公司不要陷入僅僅使用AI來彌補專業(yè)知識不足的陷阱。”