一位Reddit用戶寫道:“是時候泡杯咖啡,在陽光下坐15分鐘了。”另一位回復道:“同上。”
在包括網絡安全領域在內的技術人員中,對ChatGPT等GenAI工具的過度依賴正在穩步增長。這些工具正在改變開發人員編寫代碼、解決問題、學習和思考的方式——通常能提高短期效率,然而,這種轉變是有代價的:開發人員可能會削弱其編碼和批判性思維能力,這最終會對他們及其所在企業產生長期影響。
“我們觀察到一種趨勢,即初級專業人員,特別是剛進入網絡安全領域的專業人員,在系統層面的深入理解方面存在困難,”Tuskira的聯合創始人兼CISO/首席產品官(CPO)Om Moolchandani說道。“許多人能夠生成功能代碼片段,但難以解釋其背后的邏輯或針對真實攻擊場景對其進行保護。”
微軟最近的一項調查支持了Moolchandani的觀察結果,該調查強調,依賴AI完成部分工作的員工往往不太愿意深入質疑、分析和評估自己的工作,尤其是當他們信任AI會提供準確結果時。“在使用GenAI工具時,批判性思維所投入的努力從信息收集轉變為信息驗證;從問題解決轉變為AI響應集成;從任務執行轉變為任務管理,”該論文寫道。
隨著AI代碼生成器改變開發人員的工作方式,它們也在重塑企業的運作方式。網絡安全領導者面臨的挑戰是如何利用這項技術,同時又不犧牲批判性思維、創造力和解決問題的能力——這些正是開發人員出類拔萃的技能。
短期收獲,長期風險
一些CISO擔心對AI代碼生成器的依賴日益增長——尤其是在初級開發人員中——而另一些人則采取更輕松、觀望的態度,認為這可能是一個未來的問題,而不是當前的威脅。Endor Labs的CISO Karl Mattson認為,在大多數大型企業中,AI的采用仍處于初級階段,實驗的好處仍然大于風險。
“我還沒有看到明確的證據表明,對AI的依賴會導致基礎編碼技能廣泛下降,”他說。“目前,我們正處于一個充滿創意樂觀主義、原型設計和AI早期成功的階段。核心基礎技能的下降仍感覺遙遙無期。”
其他人已經看到了過度依賴AI工具編寫代碼帶來的一些影響。耶魯隱私實驗室創始人、PrivacySave的CEO兼創始人Sean O’Brien對日益依賴GenAI表示強烈擔憂。那些嚴重依賴ChatGPT或低代碼平臺等AI驅動工具的開發人員“通常會鼓勵一種‘氛圍編碼’的心態,他們更關注于讓某些東西運行起來,而不是真正理解它是如何或為什么運行的,”O’Brien說。
Cynet的CTO Aviad Hasnis也感到擔憂,尤其是在初級專業人員身上,他們“嚴重依賴AI生成的代碼,卻沒有完全掌握其底層邏輯。”據他介紹,這種過度依賴對個人和企業都帶來了多重挑戰。“網絡安全工作需要批判性思維、故障排除能力和評估AI模型建議之外風險的能力,”他說。
雖然依賴AI代碼生成器可以提供快速解決方案和短期收益,但隨著時間的推移,這種依賴可能會適得其反。“因此,當AI系統不可用或不足時,開發人員可能難以適應,從長遠來看,這可能會使他們作為創新者和技術專家的能力失效,”DH2i的首席技術官兼聯合創始人Oj Ngo說道。
盲點、合規性和許可違規的風險
隨著GenAI越來越深入地融入軟件開發和安全工作流中,網絡安全領導者對其可能引入的盲點提出了擔憂。
“AI可以生成看似安全的代碼,但它缺乏對企業威脅模型、合規需求和對抗性風險環境的上下文感知,”Moolchandani說。
Tuskira的CISO列出了兩大問題:首先,AI生成的安全代碼可能無法針對不斷演變的攻擊技術進行加固;其次,它可能無法反映企業的特定安全環境和需求。此外,AI生成的代碼可能會給人一種虛假的安全感,因為開發人員,尤其是缺乏經驗的開發人員,通常默認認為它是安全的。
此外,與合規性和許可條款或監管標準違規相關的風險也可能導致后續的法律問題。“許多AI工具,特別是那些基于開源代碼庫生成代碼的工具,可能會不小心將未經審查、許可不當甚至惡意代碼引入您的系統,”O’Brien說。
例如,開源許可通常對歸屬、再分發和修改有具體要求,而依賴AI生成的代碼可能意味著意外違反這些許可。“這在為網絡安全工具開發軟件的上下文中尤其危險,因為遵守開源許可不僅是法律義務,而且影響安全態勢,”O’Brien補充道。“無意中違反知識產權法或引發法律責任的風險很大。”
從技術的角度來看,Digital.ai的首席技術官Wing To指出,不應將AI生成的代碼視為萬能藥。“AI生成的代碼在安全和其他領域的主要挑戰在于,相信其質量比人類生成的代碼更好,”他說。“AI生成的代碼存在包含漏洞、錯誤、受保護的知識產權和其他隱藏在訓練數據中的質量問題。”
AI生成代碼的興起進一步強化了企業在軟件開發和交付方面采用最佳實踐的需求。這包括一致地應用獨立的代碼審查,以及實施具有自動化質量和安全檢查功能的強大持續集成/持續部署(CI/CD)流程。
改變招聘流程
既然GenAI已成定局,CISO及其服務的企業便不能再忽視其影響。在這種新常態下,有必要設置防護欄,以促進批判性思維,培養對代碼的深入理解,并加強所有參與編寫代碼的團隊的問責制。
Moolchandani說,公司在招聘經驗較少的專業人員時,也應該重新考慮如何評估技術技能。“代碼測試可能不再足夠——需要更加關注安全推理、架構和對抗性思維。”
在DH2i的招聘過程中,Ngo表示他們會評估候選人對AI的依賴程度,以判斷其批判性思維和獨立工作的能力。“雖然我們認識到AI在提高生產力方面的價值,但我們更傾向于雇用擁有扎實基礎技能的員工,這樣他們就能有效地將AI作為工具使用,而不是依賴它作為拐杖。”
紐約大學全球CIO Don Welch有類似的觀點,并補充說,那些將在這個新范式中茁壯成長的人將是那些保持好奇心、提出問題并盡力了解周圍世界的人。“要雇用那些重視成長和學習的人,”Welch說。
一些網絡安全領導者擔心,過度依賴AI可能會加劇該行業已經面臨的人才短缺危機。對于中小型企業而言,找到熟練人才并幫助他們成長可能會變得越來越困難。“如果下一代安全專業人員主要接受的是如何使用AI的培訓,而不是批判性地思考安全挑戰,那么該行業可能會難以培養出推動創新和韌性的經驗豐富的領導者,”Hasnis說。
GenAI不能取代編碼知識
使用AI工具編寫代碼而沒有深厚技術基礎的早期職業專業人員面臨著停滯不前的高風險。他們可能不了解攻擊向量、系統內部或安全軟件設計,Moolchandani說。“從中長期來看,這可能會限制他們成長為高級安全角色,而在這些角色中,威脅建模、可利用性分析和安全工程方面的專業知識至關重要。公司很可能會區分那些用AI增強技能的人和那些依賴AI來彌補基礎差距的人。”
Moolchandani和其他人建議企業增加培訓力度并調整知識傳授方法。“在職培訓必須更加注重實踐,專注于真實世界的漏洞、利用技術和安全編碼原則,”他說。
Mattson表示,企業應更多地關注幫助員工獲得未來的相關技能。技術將快速發展,僅憑培訓項目可能不足以跟上步伐。“但對任何變化而言,持續技能改進的文化都是持久的,”Mattson補充道。
這些培訓項目應幫助員工了解AI的優缺點,學習何時依賴這些工具以及何時必須進行人工干預,Hasnis說。“通過將AI驅動的效率與人工監督相結合,公司可以利用AI的力量,同時確保其安全團隊保持專注、熟練和具有韌性,”他說。他建議開發人員始終質疑AI輸出,特別是在安全敏感環境中。
O’Brien也認為AI應與人類專業知識相結合。“公司需要營造一種文化,即將AI視為一種工具:一種可以提供幫助但不能取代對編程和傳統軟件開發及部署深入理解的工具,”他說。
“至關重要的是,公司不要陷入僅僅使用AI來彌補專業知識不足的陷阱。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號