引领人工智能时代的应用安全

当生成式人工智能开始展现其编程能力时，开发人员自然会求助于它来帮助他们高效地编写代码。但随着大量人工智能生成的代码首次进入代码库，安全领导者现在正面临着人工智能对整体安全态势的潜在影响。

无论是人工智能被用来将恶意代码插入开源项目，还是人工智能相关攻击的兴起，人工智能和应用程序安全 (AppSec) 在未来几年只会继续进一步交织在一起。

以下是人工智能和应用安全融合的五种关键方式。

人工智能副驾驶

随着开发人员越来越依赖生成式人工智能来简化任务，他们将不可避免地开始生成越来越多的代码。这种速度和数量对于产品经理和客户来说可能是一件幸事，但从安全角度来看，更多的代码总是意味着更多的漏洞。

对于许多公司来说，漏洞管理已经达到了临界点，随着每月报告数千个新的常见漏洞和暴露 (CVE)，积压的订单量急剧增加。考虑到安全团队已经捉襟见肘，产生大量不可利用结果的风险警报工具是一种不可持续的解决方案。现在，组织比以往任何时候都必须简化和优先考虑对安全威胁的反应，只关注代表真正的、迫在眉睫的风险的漏洞。

合规并发症

人工智能生成的代码和特定于组织的人工智能模型已迅速成为企业知识产权的重要组成部分。这就引出了一个问题：合规协议能跟上吗？

人工智能生成的代码通常是通过将公共代码存储中找到的多段代码组合在一起来创建的。然而，当人工智能生成的代码从开源库中提取这些片段时，就会出现问题，这些片段的许可证类型与组织的预期用途不兼容。

如果没有监管或监督，这种基于未经审查的数据的“不合规”代码可能会危及知识产权和敏感信息。恶意侦察工具可以自动提取与任何给定人工智能模型共享的公司信息，或者开发人员可能与人工智能助手共享代码，而没有意识到他们无意中泄露了敏感信息。

未来几年，合规领导者必须根据应用程序在部署时面临的风险级别和类型，围绕如何允许开发人员使用人工智能编码助手制定一系列规则。

自动化 VEX

漏洞利用交换 (VEX) 是一个与软件物料清单 (SBOM) 结合使用的过程，向安全团队展示其网络中的可利用漏洞。

到目前为止，这些工件都是由昂贵的顾问手动生成的，随着数据激增和越来越多的 CVE 被披露，从长远来看，它们是不可持续的。为了使这一关键过程跟上当今的网络威胁，特别是当人工智能导致漏洞数量迅速增加时（由于人工智能基础设施中的新漏洞和人工智能对新漏洞的检测），安全领导者必须开始自动化 VEX 创建任务，允许对可利用性进行实时、动态评估。

人工智能邻近攻击的兴起

人工智能可用于故意创建难以检测的恶意代码并将其插入开源项目中。人工智能驱动的攻击通常与人类黑客创建的攻击有很大不同，也与大多数安全协议旨在保护的内容不同，从而使它们能够逃避检测。因此，软件公司及其安全领导者必须准备好重新构想他们处理应用安全的方式。

另一方面，人工智能本身将成为目标，而不是攻击手段。公司的专有模型和训练数据为高级黑客提供了诱人的奖励。在某些情况下，攻击者甚至可能秘密更改人工智能模型中的代码，导致其故意生成不正确的输出和操作。很容易想象这种恶意更改可能会造成灾难性后果的情况，例如篡改交通灯系统或发电厂的热传感器。

幸运的是，针对这些新威胁的新解决方案已经出现，并将继续与它们所保护的模型一起发展。

实时威胁检测

人工智能可以真正改变攻击检测的游戏规则。当与能够更深入地了解应用程序的新兴工具相结合时，人工智能将能够在异常行为发生时自动检测和识别异常行为，并在攻击进行时阻止攻击。

实时异常和威胁检测不仅可以限制违规造成的损害，而且还可以更轻松地抓住黑客。

随着应用安全社区在快速变化的数字世界中前进，人工智能只会变得更加重要——无论是它带来的挑战还是它提供的机遇。反过来，它与 AppSec 的相关性将会增长，需要安全专业人员采取主动和适应性的方法。

应用安全和网络安全行业需要通力合作，开发强大的解决方案，利用人工智能的巨大前景，同时不影响应用程序及其使用的数据的完整性。