根据Venafi的调查，92%的安全领导者对其企业内使用AI生成的代码表示担忧。

安全团队与开发团队之间的紧张关系

83%的安全领导者表示，他们的开发人员目前使用AI生成代码，其中57%称这种做法已成为常态，然而，72%的人认为，他们别无选择，只能允许开发人员使用AI来保持竞争力，而63%的人则由于安全风险，曾考虑禁止在编码中使用AI。

66%的受访者表示，安全团队无法跟上由AI驱动的开发人员的步伐。结果，安全领导者感到他们正在失去控制，企业正因此面临风险。78%的人相信AI生成的代码将导致安全危机，59%的人因AI的安全隐患而夜不能寐。

63%的安全领导者认为，在企业内无法有效管理AI的安全使用，因为他们无法清晰了解AI的具体使用位置。尽管存在这些担忧，47%的公司已经制定了确保在开发环境中安全使用AI的政策。

Venafi的首席创新官Kevin Bocek表示：“安全团队陷入了两难境地，处在一个由AI编写代码的新时代。开发人员已经通过AI得到极大增强，他们不会放弃这种‘超能力’。同时，攻击者正在渗透我们的队伍——最近在开源项目中的长期干预，以及朝鲜对IT领域的渗透，仅仅是冰山一角。”

Bocek补充道：“如今任何拥有大型语言模型(LLM)的人都可以编写代码，这打开了一个全新的战线。代码才是关键，不管是你们的开发人员使用AI超速编写的代码，还是外部代理渗透的代码，或者是某位财务人员使用从谁都不清楚的训练数据生成的LLM代码。因此，代码至关重要!我们必须验证代码的来源。”

安全领导者对AI生成代码的主要担忧

当谈到开发人员使用AI编写或生成代码时，安全领导者提出了三大主要担忧：

1. 开发人员可能过度依赖AI，导致标准下降

2. AI编写的代码不会被有效地进行质量检查

3. AI可能会使用过时且维护不善的开源库

研究还指出，AI使用开源不仅给安全团队带来了挑战：

开源的过度使用：

安全领导者估计，平均61%的应用程序使用开源代码。这种对开源的过度依赖可能带来潜在风险，因为86%的受访者认为，开源代码在开发者中更注重速度，而非安全最佳实践。

令人困扰的验证问题：

90%的安全领导者信任开源库中的代码，其中43%表示完全信任，然而，75%的人认为不可能验证每一行开源代码的安全性。因此，92%的安全领导者认为，应该使用代码签名来确保开源代码的可信性。

Venafi的首席创新官Kevin Bocek补充道：“最近的CrowdStrike宕机事件显示了代码从开发者迅速传播到全球危机的影响。如今，代码可以来自任何地方，包括AI和外部代理。未来只会有更多的代码来源，而不是更少。基于身份验证代码、应用程序和工作负载，确保它们没有被修改且被批准使用，是我们今天和未来最好的选择。我们应该把CrowdStrike宕机事件视为未来挑战的完美例子，而不是偶然的个例。”

维护代码签名的信任链可以帮助企业防止未经授权的代码执行，同时也能扩大操作规模，以跟上开发人员使用AI和开源技术的步伐。

Bocek总结道：“在一个AI和开源既强大又不可预测的世界里，代码签名成为企业的基础防线，但要让这种防护生效，代码签名过程必须既强大又安全，这不仅仅是阻止恶意代码的问题——企业需要确保每一行代码都来自可信的来源，并验证数字签名，确保自签名以来没有任何篡改。好消息是，代码签名几乎无处不在——坏消息是，它往往没有得到安全团队的充分保护，而这些团队本可以帮助确保其安全性。”