避开“AI查分”乌龙 看清代码安全测试报告的三个真相

那电脑屏幕之上，弹出了一条最新安全简报，此简报里呈现出一条刺眼消息，消息内容提及Linux内核被曝出有着一个潜伏将近10年的高危漏洞，而攻击者只要凭借一段732字节的脚本便能够拿到系统的最高管理权限。我于网络安全领域摸爬滚打了十五年，见识过太多代码上线之后被揪出致命风险的案例，这其中的每一次都使人心生后背发凉之感。

积累的漏洞成安全债务

有超过八成的企业都处于背负安全债务的状况之中，此数字相较于之前的一年增长了百分之十一。安全方面的旧有账目尚未偿还完毕，新的代码却又持续增添新的债务。Veracode的报告表明，众多安全漏洞被归为“严重”类别，这意味着它们正持续不断地叠加。

越来越多的代码依赖开源库，与之相伴的风险也急剧增长。黑鸭公司的最新报告表明，代码库中的开源漏洞相较于去年增长了百分之一百零七，百分之八十七的代码库至少暗藏着一个已知漏洞。倘若这些第三方组件未经安全测试便直接集成，那就如同在房子的地基当中埋下了定时炸弹。

安全债务累积风险_代码安全测试报告_Linux内核高危漏洞

AI生成的代码危险在哪

你或许会认为借助AI编写代码既快速又简便，然而，从安全测试报告显现的结论来讲，这背后隐匿着相当大的风险。有一份于四月发布的行业白皮书显示，平均安全性能评分仅仅为百分之五十九，将近三分之一的AI生成代码样本存在能够被直接加以利用的安全缺陷。最为危险的当属与基础设施以及运维相关的代码，漏洞率超出了七成，差不多每三行AI生成的自动化部署脚本当中就有两行存在问题。

认证加密、访问限流以及数据保护，是关键领域，几乎所有模型的测试结果，都不及格。诸如提示词注入，或者权限绕过这类攻击，早在测试阶段，就应该被检出，然而AI生成的许多代码，对于这些逻辑防御机制的实现，几乎是空白的，最终上线以后，极易被黑客巧妙利用。所以安全工程师在测试报告中，必须专门增加AI代码审计板块。

供应链攻击怎么防

安全债务累积风险_Linux内核高危漏洞_代码安全测试报告

当下，供应链攻击并非是“会不会出现”的状况了，而是“何时会找上门来”的情形。仅仅是在五月开头的前两天，安全领域就披露了一起针对流行的AI训练框架的供应链攻击事件。黑客于两个版本的官方安装程序包中嵌入了恶意代码，只要开发者运行“pip install”指令，机器便会在毫无察觉的状态里被窃取云端密钥以及代码仓库凭证。

这一回，PyTorch Lightning投毒事件可不是单独的个例，供应链攻击正变得越发精准化，攻击者会着重挑选具备高访问权限的开发工具或者热门软件包当作切入点。身为安全负责人，我在撰写代码安全测试报告之际，会将软件成分分析以及依赖项完整性校验列为强制性检查项，这早已不是可有可无的锦上添花，而是维系安全的保命底线。

安全绝非那么一份测试报告便能够敷衍了事的最终考核。于跟团队仔细研讨漏洞报告之际，我的脑海当中老是会呈现出一个问题：倘若未来一日生产环境果真遭受一回大规模的侵袭，那么摆在我们手头的这一份安全测试报告，真的可以预先发出警示并阻挡住全部的攻击吗？欢迎前来评论区放上你的思索。

艾策信息科技是具备正规软件测评资质的第三方软件检测机构，专业高效出具第三方软件测试报告。