随着人工智能(AI)技术的飞速发展,AI工具在代码编写中的应用日益广泛。曾经,几乎所有的应用程序代码都是由人类编写的,但如今,这一格局正在发生深刻变化。一些专家,如Anthropic公司的首席执行官达里奥·阿莫代(Dario Amodei),甚至预测在未来六个月内,AI将编写90%的代码。在此背景下,企业面临着全新的挑战与机遇。
一、AI生成代码的现状与影响
代码开发历来涉及多个层级的控制、监督和治理,以确保质量、合规性和安全性。然而,AI生成的代码是否同样能提供这些保障?企业必须明确知道哪些模型生成了它们的AI代码。源代码分析(SCA)工具在此方面发挥着关键作用,尽管它们过去并未涉及AI领域,但现在正在逐步适应这一变化。
多家供应商,包括Sonar、Endor Labs和Sonatype等,正在提供不同类型的见解,以帮助企业应对AI生成的代码。Sonar的首席执行官塔里克·肖卡特(Tariq Shaukat)指出,每个与之交谈的客户都对如何负责任地使用AI代码生成器感兴趣。
二、AI生成代码的风险
尽管AI工具在提高编码效率方面展现出巨大潜力,但它们并非无懈可击。许多组织在使用内容开发工具时,早期就遇到了被称为“幻觉”的不准确结果。同样的问题也适用于AI生成的代码。随着组织从实验阶段转向生产阶段,它们越来越意识到代码中存在大量错误。肖卡特提到,一家金融服务公司的首席技术官(CTO)曾告诉他,由于AI生成的代码,该公司每周都会遭遇一次故障。尽管该公司进行了代码审查,但开发人员对AI生成的代码并不如对手动编写的代码那样负责,投入的时间和精力也大大减少。
AI生成代码的问题可能因企业而异,但一个特别常见的问题是,企业通常拥有庞大且结构复杂的代码库,而AI工具可能无法充分理解这些复杂性。肖卡特认为,AI代码生成器在处理更大、更复杂的代码库时并不擅长。
Sonatype的首席产品开发官米切尔·约翰逊(Mitchell Johnson)也强调了AI生成代码的长期性,并呼吁软件开发者遵循所谓的“工程版希波克拉底誓言”,即不对代码库造成损害。这意味着在提交之前,必须严格审查、理解和验证每一行AI生成的代码,就像对待手动编写或开源代码一样。
约翰逊指出,AI生成代码的最大风险包括:
- 安全风险:AI是在大规模的开源数据集上训练的,这些数据集中往往包含脆弱或恶意的代码。如果不加以检查,它可能会将安全漏洞引入软件供应链。
- 盲目信任:开发人员,尤其是经验较少的开发人员,可能会假设AI生成的代码是正确的且安全的,而无需进行适当的验证,从而导致未检查的漏洞。
- 合规性和上下文差距:AI缺乏对业务逻辑、安全政策和法律要求的认识,这使得合规性和性能权衡变得风险重重。
- 治理挑战:AI生成的代码可能会在没有监督的情况下蔓延。组织需要自动化的防护栏来跟踪、审计和确保大规模AI创建的代码的安全性。
三、应对AI生成代码风险的策略
为了应对这些挑战,企业需要采取一系列策略来确保AI生成代码的安全性和有效性。
- 实施严格的验证过程:企业应建立严格的流程,以了解代码生成器在代码库中的具体使用位置,从而确保适当的责任追究和审查。
- 认识AI在复杂代码库中的局限性:虽然AI生成的代码可以轻松处理简单的脚本,但在处理具有大量依赖关系的复杂代码库时可能会受到限制。
- 了解AI生成代码的独特问题:肖卡特指出,虽然AI可以避免常见的语法错误,但它往往会通过“幻觉”创造更严重的架构问题,如虚构变量名或不存在的库。
- 要求开发者承担责任:约翰逊强调,AI生成的代码并非天生安全。开发人员必须审查、理解和验证每一行代码,然后才能提交。
- 简化AI审批流程:约翰逊还警告了“影子AI”或不受控制的AI工具使用的风险。企业应建立清晰、高效的框架来评估和批准AI工具,确保安全采用而不会遇到不必要的障碍。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/ai-sheng-cheng-dai-ma-de-feng-xian-ji-qi-ye-guan-li-ce-lyue
