大多数人尚未意识到这一点。
几年前,构建软件和保护软件感觉像是两份不同的工作。
软件工程师负责交付功能。
安全工程师负责发现漏洞。
每个人都有自己的职责。
如今,人工智能正在悄然改变这种关系。
每次你要求人工智能助手生成生产环境代码时,你都在做出安全决策——即使你没有意识到这一点。
这就是为什么我认为人工智能工程师正逐渐转变为安全工程师。
无论他们是否为此做好了准备。
人工智能不仅仅是在编写代码
它是在构建信任
现代人工智能编程助手可以在几分钟内生成大量的软件。
身份验证。
表述性状态转移应用程序接口。
多克尔配置文件。
特拉福姆基础设施即代码工具。
吉特哈布动作自动化工作流。
数据库模式。
整个后端服务。
这种速度确实具有变革性。
但每一行生成的代码都带着一个假设。
这个端点是否需要身份验证?
这个对象是否应该被序列化?
这个字段是否应该被加密?
这个请求是否应该被记录日志?
这个应用程序接口是否应该暴露详细的错误信息?
这些不是编程问题。
它们是安全问题。
我们构建得越快
我们引入风险的速度就越快
在使用人工智能辅助开发的过程中,我注意到的一件事是,实现过程变得显著加快。
但架构设计没有加快。
威胁建模没有加快。
安全审查没有加快。
治理流程也没有加快。
因此,许多团队在无意中压缩了实现时间,而安全流程却保持不变。
这造成了一种危险的失衡。
代码到达的速度超过了组织能够自信地审查它的速度。
人工智能不理解你的威胁模型
大型语言模型非常擅长理解常见的编程模式。
它们知道如何构建身份验证。
它们知道如何创建应用程序接口。
它们知道如何连接数据库。
但它们不知道的是:
- 你的监管要求
- 你的内部政策
- 你的安全架构
- 你的合规义务
- 你可接受的风险水平
每家公司都有不同的威胁模型。
除非工程师明确提供,否则人工智能无法推断出这种背景信息。
每一次提示都是一项设计决策
想象一下,你向人工智能助手提问:
构建一个文件上传服务。
大多数开发者立即关注功能。
它能上传文件吗?
它会存储文件吗?
它会返回统一资源定位符吗?
安全工程师听到的是一个不同的问题。
允许哪些文件类型?
上传文件的大小限制是多少?
是否会上传恶意软件?
文件存储在哪里?
上传的文件能否执行?
谁拥有访问权限?
攻击者能否覆盖现有对象?
提示词中并未提及任何这些担忧。
但这并不意味着它们消失了。
“氛围编码”改变了攻击面
人工智能辅助开发最有趣的后果之一是,软件的增长速度现在远远超过组织的预期。
更多的端点。
更多的服务。
更多的集成。
更多的应用程序接口。
更多的基础设施。
每个新组件都会增加攻击面。
人工智能并没有创造这种攻击面。
它只是加速了攻击面出现的速度。
安全正成为工程师
免责声明:本文内容来自互联网,该文观点不代表本站观点。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请到页面底部单击反馈,一经查实,本站将立刻删除。
免责声明:本文内容来自互联网,该文观点不代表本站观点。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请到页面底部单击反馈,一经查实,本站将立刻删除。
