GitHub 的一项调查显示,92% 的美国开发人员在工作内外都使用人工智能编码工具。在看到生产力随之激增后,许多人参与了所谓的“影子人工智能”,在未经组织 IT 部门和/或首席信息安全官 (CISO) 知情或批准的情况下利用该技术。
这应该不足为奇,因为积极进取的员工必然会寻求能够最大限度发挥其价值潜力的技术,同时减少阻碍更具挑战性、更具创造性追求的重复性任务。毕竟,这不仅是人工智能为开发人员所做的,也是为所有专业人士所做的。这些工具未经批准的使用也不是什么新鲜事,我们已经看到类似的场景在影子 IT 和影子软件即服务 (SaaS) 中上演。
然而,即使开发人员以“不问/不说”的方式善意规避公司政策和程序,他们也会(通常在不知不觉中)通过人工智能引入潜在风险和不良后果。这些风险包括:
安全规划和监督存在盲点,因为 CISO 及其团队不了解影子 AI 工具,因此无法评估或帮助管理它们
人工智能引入易受攻击的代码,导致数据暴露/泄露
人工智能的使用不符合监管要求导致的合规缺陷
长期生产力下降。虽然人工智能最初可以提高生产力,但它经常会产生漏洞问题,而团队最终会因为从一开始就没有解决这些问题而不得不倒退。
显而易见的是,人工智能本身并不危险。缺乏对人工智能实施方式的监督,加剧了不良的编码习惯和松懈的安全措施。迫于以更快的速度生产出更好软件的压力,开发团队成员可能会从一开始就试图走捷径,甚至完全放弃对代码漏洞的审查。而且,首席信息安全官及其团队再次被蒙在鼓里,无法保护这些工具,因为他们甚至不知道这些工具的存在。
那么,CISO 如何让 AI 辅助编码走出阴影,在避免漏洞的同时最大限度地发挥生产力优势呢?通过拥抱它(而不是一刀切地压制它),并执行以下三点计划,建立合理的护栏并提高开发团队成员的安全意识能力:
确定 AI 实施。首席信息安全官及其团队应规划出在整个软件开发生命周期 (SDLC) 中部署 AI 的位置和方式……谁在引入这些工具?他们的安全技能是什么?他们采取了哪些措施来避免不必要的风险?我们如何实施有效的培训来提高那些经常发现存在漏洞的 AI 辅助代码开发人员的技能/意识水平?
通过规划 SDLC,安全团队可以精确定位哪些阶段(例如设计、测试或部署)最容易受到未经授权的 AI 使用。
培养“安全第一”文化。从一开始就树立“主动保护”的心态,从长远来看,这实际上会节省开发人员的时间,而不是增加他们的工作量,因为这样可以消除日后“倒退工作”的修复。为了达到这种最佳且安全的编码状态,团队成员必须致力于建立一种安全第一的文化,而不是盲目信任人工智能的输出。
随着这种文化的完全扎根(并通过定期培训得到加强),这些专业人士将认识到,最好是请求许可而不是请求原谅。他们会明白,在建立购买工具的案例时,他们需要让 CISO 知道他们想要使用什么以及为什么使用。然后,CISO 必须清楚地说明该工具的潜在风险后果,并解释这些考虑因素如何影响批准或不批准其部署。如果安全第一的开发人员得出结论,采用未经充分审查的 AI 产品将导致比其价值更多的麻烦,他们更有可能尊重其 CISO 的决定。
激励成功。当开发人员同意“让人工智能走出阴影”时,他们就为组织增加了价值。这种价值应该得到奖励,以晋升和更具创意吸引力/挑战性的项目的形式。通过建立基准来衡量团队成员的安全技能和实践,CISO 将能够识别那些已经证明自己是承担更大责任和职业发展候选人的人,并向其他经理和高管提出此类建议。
事实上,在安全第一文化全面发挥作用的情况下,开发人员将把保护性部署人工智能视为一项有市场价值的技能,并做出相应的反应。反过来,首席信息安全官及其团队将能够领先于风险,而不是被影子人工智能所蒙蔽。因此,组织将看到他们的编码和安全团队共同努力,确保软件生产更好、更快、更安全。
