AI 生成代码隐忧，人工审查缺口成安全新威胁

6 月 20 日消息，Cloudsmith 于 6 月 18 日发布报告，指出 AI 生成的代码数量激增，但人工代码审核无法同步跟上。

援引报告内容，在使用 AI 的开发者中，42% 的代码由 AI 生成，其中 16.6% 的开发者依赖 AI 贡献“大部分”代码，3.6% 的代码完全由机器生成。

这一趋势在 GitHub 2024 年的调查中得到印证：美国、巴西、德国、印度四国中，超 97% 的开发者曾使用 AI 编码工具，且 88%-59% 的受访者表示公司“至少部分支持”此类工具。

报告也指出 AI 快速生成代码的背后存在隐忧。调查显示开发者普遍担忧，AI 可能加剧开源恶意软件威胁：79.2% 的受访者认为 AI 将增加环境中恶意软件数量，其中 30% 认为威胁将“显著上升”。

Cloudsmith 警告，三分之一的开发者未在每次部署前审查 AI 生成的代码，导致“大量代码未经验证”直接投入生产环境，形成供应链漏洞。

更关键的是，由于 AI“快速复用未知或不可信代码”，代码完整性、依赖管理、SBOMs（软件物料清单）等传统风险被放大。开发者坦言，AI 输入在“代码生成阶段”风险最高，仅 40% 认为该环节需严格管控。

Cloudsmith 建议，需通过“智能访问控制”和“端到端可见性”强化制品管理，并采用动态访问策略与“政策即代码”框架。针对 AI 生成的代码，需强制执行自动政策，标记未经审查或不可信的 AI 制品，并通过“溯源追踪”区分人机代码。