可以肯定地说,在不久的将来,人工智能辅助开发将更加成为一种常态。组织必须制定政策和最佳实践来有效地管理这一切,就像他们对云部署、自带设备 (BYOD) 和其他工作场所技术趋势所做的那样。但这种监督仍在进行中。例如,许多开发人员在未经组织 IT 部门或管理层知情或批准的情况下使用这些工具 参与所谓的“影子人工智能”。
这些管理者包括首席信息安全官 ( CISO ),他们负责确定防护措施,以便开发人员了解哪些 AI 工具和实践可以,哪些不可以。CISO 需要引领从影子 AI 的不确定性过渡到更知名、更可控、管理更完善的自带 AI (BYOAI) 环境。
现在是转型的时候了,因为最近的学术和行业研究揭示了一种不稳定的状态:根据《2024 年云原生安全状况报告》(PDF),44% 的组织担心与 AI 生成的代码相关的风险。Snyk的研究表明,56% 的软件和安全团队成员表示不安全的 AI 建议很常见。五分之四的开发人员绕过安全策略使用 AI(即影子 AI),但只有十分之一的人扫描了他们的大部分代码,通常是因为该过程增加了代码审查的周期,从而减慢了整体工作流程。
在斯坦福大学的一项研究中,研究人员发现,使用人工智能助手的开发人员中,只有3% 编写了安全的产品,而没有使用人工智能的开发人员中,这一比例为 21%。使用人工智能的开发人员中,36% 编写的产品易受 SQL 注入攻击,而没有使用人工智能的开发人员中,这一比例为 7%。
采用精心构思和执行的 BYOAI 策略将极大地帮助 CISO 克服挑战,因为开发人员可以利用这些工具快速编写代码。通过安全和编码团队之间的密切合作,CISO 将不再站在编码环境之外,对谁在使用什么一无所知。他们将培养一种文化,让开发人员认识到他们不能盲目信任人工智能,因为这样做会导致日后出现大量问题。许多团队已经熟悉需要“逆向工作”来修复从一开始就没有解决的糟糕编码和安全性,因此也许人工智能安全意识也会让开发人员在未来更加明显地意识到这一点。
那么 CISO 如何达到这一状态呢?通过结合以下实践和观点:
建立可见性。消除影子人工智能最可靠的方法是将人工智能从阴影中移除,对吗?首席信息安全官需要了解开发团队正在使用的工具、他们不使用的工具以及原因。这样,他们就能清楚地知道代码来自哪里,以及人工智能的参与是否会引入网络风险。
实现安全性和生产力之间的平衡。首席信息安全官不能也不应该阻止团队寻找自己的工具。相反,他们必须在生产力和安全性之间寻求微妙的平衡。他们需要愿意在一定范围内允许相关的人工智能相关活动,前提是这些活动能够以最小或至少可接受的风险实现生产目标。
换句话说,与采取“拒绝部门”的心态相反,CISO 应该以这样的心态为他们的开发团队制定指导方针和认可流程:“我们很感激您发现新的 AI 解决方案,这些解决方案将使您能够更有效地创建软件。我们只是想确保您的解决方案不会导致最终阻碍生产力的安全问题。所以让我们一起努力吧。”
衡量。同样,本着协作精神,首席信息安全官应与编码团队合作,制定衡量软件生产力和可靠性/安全性的关键绩效指标 (KPI)。KPI 应该回答以下问题:“我们利用人工智能生产了多少?我们生产的速度有多快?我们流程的安全性是变好了还是变坏了?”
请记住,这些不是“安全”KPI。它们是“组织”KPI,必须与公司战略和目标保持一致。在最好的情况下,开发人员会将 KPI 视为更好地为他们提供信息的东西,而不是负担。他们会认识到 KPI 可以帮助他们达到“更多/更快/更好”的水平,同时控制风险因素。
开发团队可能比 CISO 预期的更愿意接受“安全第一”的合作关系。事实上,这些团队成员在部署 AI 编码工具时将安全审查与代码审查一起列为优先事项。他们还认为协作可以使代码编写更干净、更安全。
因此,首席信息安全官应迅速推进 AI 可见性和 KPI 计划,以支持“恰到好处”的平衡,从而实现最佳的安全性和生产力结果。毕竟,精灵永远不会回到瓶子里。因此,确保精灵能够发挥我们的最佳工作效果而不会带来不必要的风险至关重要。