每当ChatGPT等工具出现故障时，软件开发人员离开办公桌、休息片刻或沮丧地靠在椅背上，都不足为奇。对于技术领域的许多专业人士而言，AI辅助的编码工具已成为一种便利。甚至像2025年3月24日发生的短暂故障，也可能使开发工作陷入停滞。

一位Reddit用户写道：“是时候泡杯咖啡，在阳光下坐15分钟了。”另一位回复道：“同上。”

在包括网络安全领域在内的技术人员中，对ChatGPT等GenAI工具的过度依赖正在稳步增长。这些工具正在改变开发人员编写代码、解决问题、学习和思考的方式——通常能提高短期效率，然而，这种转变是有代价的：开发人员可能会削弱其编码和批判性思维能力，这最终会对他们及其所在企业产生长期影响。

“我们观察到一种趋势，即初级专业人员，特别是刚进入网络安全领域的专业人员，在系统层面的深入理解方面存在困难，”Tuskira的联合创始人兼CISO/首席产品官(CPO)Om Moolchandani说道。“许多人能够生成功能代码片段，但难以解释其背后的逻辑或针对真实攻击场景对其进行保护。”

微软最近的一项调查支持了Moolchandani的观察结果，该调查强调，依赖AI完成部分工作的员工往往不太愿意深入质疑、分析和评估自己的工作，尤其是当他们信任AI会提供准确结果时。“在使用GenAI工具时，批判性思维所投入的努力从信息收集转变为信息验证;从问题解决转变为AI响应集成;从任务执行转变为任务管理，”该论文写道。

随着AI代码生成器改变开发人员的工作方式，它们也在重塑企业的运作方式。网络安全领导者面临的挑战是如何利用这项技术，同时又不牺牲批判性思维、创造力和解决问题的能力——这些正是开发人员出类拔萃的技能。

短期收获，长期风险

一些CISO担心对AI代码生成器的依赖日益增长——尤其是在初级开发人员中——而另一些人则采取更轻松、观望的态度，认为这可能是一个未来的问题，而不是当前的威胁。Endor Labs的CISO Karl Mattson认为，在大多数大型企业中，AI的采用仍处于初级阶段，实验的好处仍然大于风险。

“我还没有看到明确的证据表明，对AI的依赖会导致基础编码技能广泛下降，”他说。“目前，我们正处于一个充满创意乐观主义、原型设计和AI早期成功的阶段。核心基础技能的下降仍感觉遥遥无期。”

其他人已经看到了过度依赖AI工具编写代码带来的一些影响。耶鲁隐私实验室创始人、PrivacySave的CEO兼创始人Sean O’Brien对日益依赖GenAI表示强烈担忧。那些严重依赖ChatGPT或低代码平台等AI驱动工具的开发人员“通常会鼓励一种‘氛围编码’的心态，他们更关注于让某些东西运行起来，而不是真正理解它是如何或为什么运行的，”O’Brien说。

Cynet的CTO Aviad Hasnis也感到担忧，尤其是在初级专业人员身上，他们“严重依赖AI生成的代码，却没有完全掌握其底层逻辑。”据他介绍，这种过度依赖对个人和企业都带来了多重挑战。“网络安全工作需要批判性思维、故障排除能力和评估AI模型建议之外风险的能力，”他说。

虽然依赖AI代码生成器可以提供快速解决方案和短期收益，但随着时间的推移，这种依赖可能会适得其反。“因此，当AI系统不可用或不足时，开发人员可能难以适应，从长远来看，这可能会使他们作为创新者和技术专家的能力失效，”DH2i的首席技术官兼联合创始人Oj Ngo说道。

盲点、合规性和许可违规的风险

随着GenAI越来越深入地融入软件开发和安全工作流中，网络安全领导者对其可能引入的盲点提出了担忧。

“AI可以生成看似安全的代码，但它缺乏对企业威胁模型、合规需求和对抗性风险环境的上下文感知，”Moolchandani说。

Tuskira的CISO列出了两大问题：首先，AI生成的安全代码可能无法针对不断演变的攻击技术进行加固;其次，它可能无法反映企业的特定安全环境和需求。此外，AI生成的代码可能会给人一种虚假的安全感，因为开发人员，尤其是缺乏经验的开发人员，通常默认认为它是安全的。

此外，与合规性和许可条款或监管标准违规相关的风险也可能导致后续的法律问题。“许多AI工具，特别是那些基于开源代码库生成代码的工具，可能会不小心将未经审查、许可不当甚至恶意代码引入您的系统，”O’Brien说。

例如，开源许可通常对归属、再分发和修改有具体要求，而依赖AI生成的代码可能意味着意外违反这些许可。“这在为网络安全工具开发软件的上下文中尤其危险，因为遵守开源许可不仅是法律义务，而且影响安全态势，”O’Brien补充道。“无意中违反知识产权法或引发法律责任的风险很大。”

从技术的角度来看，Digital.ai的首席技术官Wing To指出，不应将AI生成的代码视为万能药。“AI生成的代码在安全和其他领域的主要挑战在于，相信其质量比人类生成的代码更好，”他说。“AI生成的代码存在包含漏洞、错误、受保护的知识产权和其他隐藏在训练数据中的质量问题。”

AI生成代码的兴起进一步强化了企业在软件开发和交付方面采用最佳实践的需求。这包括一致地应用独立的代码审查，以及实施具有自动化质量和安全检查功能的强大持续集成/持续部署(CI/CD)流程。

改变招聘流程

既然GenAI已成定局，CISO及其服务的企业便不能再忽视其影响。在这种新常态下，有必要设置防护栏，以促进批判性思维，培养对代码的深入理解，并加强所有参与编写代码的团队的问责制。

Moolchandani说，公司在招聘经验较少的专业人员时，也应该重新考虑如何评估技术技能。“代码测试可能不再足够——需要更加关注安全推理、架构和对抗性思维。”

在DH2i的招聘过程中，Ngo表示他们会评估候选人对AI的依赖程度，以判断其批判性思维和独立工作的能力。“虽然我们认识到AI在提高生产力方面的价值，但我们更倾向于雇用拥有扎实基础技能的员工，这样他们就能有效地将AI作为工具使用，而不是依赖它作为拐杖。”

纽约大学全球CIO Don Welch有类似的观点，并补充说，那些将在这个新范式中茁壮成长的人将是那些保持好奇心、提出问题并尽力了解周围世界的人。“要雇用那些重视成长和学习的人，”Welch说。

一些网络安全领导者担心，过度依赖AI可能会加剧该行业已经面临的人才短缺危机。对于中小型企业而言，找到熟练人才并帮助他们成长可能会变得越来越困难。“如果下一代安全专业人员主要接受的是如何使用AI的培训，而不是批判性地思考安全挑战，那么该行业可能会难以培养出推动创新和韧性的经验丰富的领导者，”Hasnis说。

GenAI不能取代编码知识

使用AI工具编写代码而没有深厚技术基础的早期职业专业人员面临着停滞不前的高风险。他们可能不了解攻击向量、系统内部或安全软件设计，Moolchandani说。“从中长期来看，这可能会限制他们成长为高级安全角色，而在这些角色中，威胁建模、可利用性分析和安全工程方面的专业知识至关重要。公司很可能会区分那些用AI增强技能的人和那些依赖AI来弥补基础差距的人。”

Moolchandani和其他人建议企业增加培训力度并调整知识传授方法。“在职培训必须更加注重实践，专注于真实世界的漏洞、利用技术和安全编码原则，”他说。

Mattson表示，企业应更多地关注帮助员工获得未来的相关技能。技术将快速发展，仅凭培训项目可能不足以跟上步伐。“但对任何变化而言，持续技能改进的文化都是持久的，”Mattson补充道。

这些培训项目应帮助员工了解AI的优缺点，学习何时依赖这些工具以及何时必须进行人工干预，Hasnis说。“通过将AI驱动的效率与人工监督相结合，公司可以利用AI的力量，同时确保其安全团队保持专注、熟练和具有韧性，”他说。他建议开发人员始终质疑AI输出，特别是在安全敏感环境中。

O’Brien也认为AI应与人类专业知识相结合。“公司需要营造一种文化，即将AI视为一种工具：一种可以提供帮助但不能取代对编程和传统软件开发及部署深入理解的工具，”他说。

“至关重要的是，公司不要陷入仅仅使用AI来弥补专业知识不足的陷阱。”

文章来自：51CTO