人工智能与网络安全——CISO 警告因 vibe coding 失去技能的“祸害” 你的代码来自哪里？AI？那它一定完美，对吗？错了。一份新报告揭示了风险，供应商的 CISO 警告长期问题。

网络安全依然是一个复杂的领域，每一项新的云创新似乎都为新的漏洞和安全隐患打开了大门。那句“一个组织的安全程度取决于最薄弱环节，通常是人”的老话依然刺痛人心。新技术挑战着我们的日常行为，也考验着我们真正能信任谁或什么。但现在，风险正深入核心基础设施，甚至渗透到公司推出的应用中。最可怕的是？有时连开发者自己都无法准确定位这些弱点，更别说修复了。\n\n这对首席信息安全官（CISO）及其团队打击最大。罪魁祸首？人工智能，尤其是 AI 生成代码的激增和 vibe coding 的兴起——即借助 AI 快速生成代码。云与代码安全专家 Aikido 最近发布的《安全与开发中的 AI 状态》报告揭示了这一日益增长的威胁。报告生动描绘了随着 AI 采用爆炸式增长，速度与安全之间的拉锯战。显然，团队急于推向市场，常抱着“先发布，后修补”的心态，这只会扩大攻击面。\n\n该研究基于对欧洲和美国 450 名专业人士的访谈——包括开发者、安全领导和应用安全工程师——发现 69% 的组织发现了与 AI 生成代码相关的漏洞。更令人担忧的是，20% 报告了由此引发的严重安全事件。鉴于事件已很常见——过去一年有 27% 的组织遭受重创——问题是：还有多少漏洞未被发现？\n\n风险极高。近期头条报道显示，面向公众的服务和大型品牌遭到破坏，有时是因为系统脆弱而非直接攻击——亚马逊和微软等巨头对此深有体会。自动化加快了进度，但往往以引入难以发现的缺陷为代价。这引出了责任归属的复杂问题。当 AI 编写的代码造成损害时，谁该负责？是使用工具的编码者，还是构建有缺陷系统的 AI 供应商，抑或是未能发现漏洞的安全团队？\n\n法律上，责任落在高级领导身上，报告显示 75% 的 CISO 最近不得不处理严重事件——远超承认重大漏洞的组织数量。尽管如此，许多受访者不确定真正的责任归属。超过一半归咎于安全团队未能发现漏洞；近一半责怪开发者生成了风险代码；较少人指责 AI 供应商。这种错综复杂的责任归属游戏凸显了 vibe coding 带来的治理挑战，形成了一个难以厘清责任的镜厅。\n\n信任是问题的核心。我们真的准备好在如此大规模的编码中信任 AI 工具吗？尤其当我们知道大型语言模型和聊天机器人会产生幻觉、传播错误信息，甚至侵犯版权？vibe coding 也不例外——它继承了这些风险。此外，旨在解决这些问题的安全工具泛滥反而带来更多麻烦。报告指出，使用多个独立供应商工具的团队因集成问题（如重复警报和数据不一致）面临更多事件和更长修复时间。相比之下，集成的应用和云安全方案显示出更低的事件率。\n\n从人的角度看，安全工程师依然至关重要。四分之一的 CISO 警告称，失去哪怕一名顶尖安全专家都可能引发严重漏洞、延迟事件响应和减缓产品开发。尽管 AI 热潮不断，人为因素依然极其重要。\n\n在一次独家访谈中，Aikido 的 CISO Mike Wilkes 将现状形容为“民主化了快速发布糟糕代码的能力”。他指出，自动化和基础设施即代码并未提升代码质量，只是加快了发布有缺陷软件的速度。如今，借助 vibe coding 和低代码/无代码工具，任何人都能大规模生成风险代码，就像 AI 民主化了制作平庸艺术或音乐一样。这种“平庸民主化”对未来构成了真实且具体的风险。