意库资讯网 意库资讯网

当前位置: 首页 » 热门动态 »

热门代码生成工具存在严重安全漏洞风险

创始人 更新于 2026-01-19 22:48:23 首发于 2026-01-19 22:48:39 热门动态 0

研究发现主流AI代码生成平台存在严重安全隐患

一项最新研究发现,流行的AI代码生成平台在响应常见编程提示时经常生成不安全的代码,其中包括被评为"严重"级别的安全漏洞。

安全初创公司Tenzai得出的核心结论是:这些工具擅长避免那些可以通过通用方法解决的安全缺陷,但在需要根据上下文来区分安全和危险代码的情况下表现不佳。

该评估于2025年12月进行,对比了五个知名的AI代码生成工具——Claude Code、OpenAI Codex、Cursor、Replit和Devin——通过预定义提示构建相同的三个测试应用程序。

总计而言,五个工具在15个应用程序(每个工具3个)中输出的代码共包含69个安全漏洞。其中约45个被评为"低-中"严重级别,其余大部分被评为"高"级别,约有6个被评为"严重"级别。

虽然所有五个工具的低-中级漏洞数量相同,但只有Claude Code(4个缺陷)、Devin(1个)和Codex(1个)生成了严重级别的漏洞。

最严重的漏洞涉及API授权逻辑(检查谁被允许访问资源或执行操作)和业务逻辑(允许不应该被允许的用户操作),这两者对电子商务系统都很重要。

Tenzai的研究人员表示:"AI生成的代码似乎非常容易出现业务逻辑漏洞。虽然人类开发者具有直觉理解,帮助他们掌握工作流程应该如何运作,但智能体缺乏这种'常识',主要依赖于明确的指令。"

作为补偿,这些工具在避免长期困扰人类编码应用程序的常见缺陷方面表现良好,例如SQL注入或跨站脚本攻击漏洞,这两种漏洞仍然在OWASPTop 10 Web应用程序安全风险列表中占据显著位置。

Tenzai表示:"在我们开发的所有应用程序中,我们没有遇到任何可利用的SQL注入或跨站脚本攻击漏洞。"

AI代码生成的销售卖点是它自动化了日常编程工作,提高了生产力。虽然这无疑是正确的,但Tenzai的测试显示这个想法有局限性;仍然需要人工监督和调试。

这不是一个新发现。自"AI代码生成"概念发展以来的一年里,其他研究也发现,如果没有适当的监督,这些工具容易引入新的网络安全弱点。

但这不仅仅是AI代码生成平台没有发现其代码中的安全缺陷;在某些情况下,使用通用规则或示例简单地定义什么是好什么是坏是不可能的。

Tenzai表示:"以服务器端请求伪造(SSRF)为例:没有通用规则来区分合法的URL获取和恶意的URL获取。安全和危险之间的界限在很大程度上取决于上下文,这使得通用解决方案变得不可能。"

显而易见的解决方案是,既然行业已经发明了AI代码生成智能体,现在应该专注于AI代码检查智能体,这正是刚刚走出隐身模式不久的小型初创公司Tenzai认为其在市场上找到技术空白的地方。该公司表示:"基于我们的测试和最新研究,目前不存在解决这个问题的综合解决方案。这使得开发者理解代码生成智能体的常见陷阱并相应准备变得至关重要。"

AI代码生成提出的更深层次问题不是工具工作得如何,而是它们如何被使用。告诉开发者保持对AI代码输出的关注与知道这会发生并不相同,就像在人类犯所有错误的时代一样。

安全服务公司Talion的攻击性安全主管Matthew Robbins评论道:"在实施AI代码生成方法时,公司应该确保安全代码审查是任何安全软件开发生命周期的一部分并得到一致实施。还应该利用良好的实践框架,如与语言无关的OWASP安全编码实践,以及特定语言的框架,如SEI CERT编码标准。"

Robbins补充说,代码应该在部署前使用静态和动态分析进行测试。关键是要正确进行调试。他指出:"虽然AI代码生成带来风险,但可以通过严格遵循行业标准流程和指导原则来管理,这些流程和指导原则比传统调试和质量保证更进一步。"

然而,根据应用程序测试组织Checkmarx的产品营销副总裁Eran Kinsbruner的说法,传统调试面临被AI时代淹没的风险。

他说:"强制更多调试对于AI速度问题来说是错误的直觉。调试假设人类可以在事后有意义地审查AI生成的代码。在AI代码生成的规模和速度下,这种假设就崩溃了。"

"唯一可行的应对方案是将安全性融入创建过程中。在实践中,这意味着智能体安全必须成为AI编码助手的原生伴侣,直接嵌入到AI优先的开发环境中,而不是在下游附加。"

Q&A

Q1:AI代码生成工具主要存在哪些安全问题?

A:研究发现AI代码生成工具容易产生业务逻辑漏洞和API授权逻辑漏洞,这些被评为严重级别。工具缺乏"常识",主要依赖明确指令,在需要根据上下文判断安全性的场景下表现不佳。

Q2:哪些AI代码生成工具的安全风险最高?

A:在测试的五个工具中,Claude Code生成了4个严重级别漏洞,风险最高。Devin和OpenAI Codex各生成1个严重漏洞,而Cursor和Replit没有产生严重级别的安全问题。

Q3:如何降低AI代码生成的安全风险?

A:专家建议将安全审查纳入软件开发生命周期,使用OWASP安全编码实践等标准框架,在部署前进行静态和动态代码分析,并将智能体安全直接嵌入AI开发环境中。

未经允许不得转载: 意库资讯网 » 热门代码生成工具存在严重安全漏洞风险

热门标签

热门排行

最新更新

友情链接

Copyright © 2026 意库资讯网