AIPress.com.cn報道
1月14日消息,AI安全公司Tenzai發(fā)布研究報告,指出OpenAI和Anthropic等公司提供的AI編程工具在生成網站代碼時存在系統(tǒng)性安全缺陷。研究發(fā)現,這些工具生成的網站在防御跨站腳本攻擊(XSS)、SQL注入等常見漏洞方面存在不足,可能導致敏感信息泄露或資金被未經授權轉移。
Tenzai在實驗中測試了OpenAI的代碼生成工具、Anthropic的Claude,以及Cursor、Replit、Devin等平臺,結果顯示AI生成代碼雖然功能性強,但往往忽視安全性,尤其是對新手開發(fā)者而言,容易遺漏必要防護措施。
安全專家指出,隨著AI工具在企業(yè)快速原型開發(fā)中的廣泛應用,這些漏洞可能被大規(guī)模放大。AI模型的訓練依賴于歷史代碼數據,其中包括過時或不安全的編碼模式,因此即使是先進工具也可能繼承缺陷。
為應對安全風險,Anthropic采取措施限制未經授權的訪問,并針對競爭者如xAI進行了訪問控制。與此同時,OpenAI也在加強內部防護機制,并增設相關崗位以監(jiān)控和緩解潛在漏洞。
開發(fā)者被建議在使用AI生成代碼時采取混合策略:將AI作為創(chuàng)意和模板工具,但對安全關鍵部分進行人工審查和自動化安全掃描。行業(yè)內正在討論制定針對AI生成代碼的安全標準,例如歐盟《人工智能法案》可能要求公開漏洞報告。
Tenzai研究提醒,AI工具的便利性與潛在風險并存,安全意識和監(jiān)管措施將成為確保AI編碼應用可靠性的關鍵。未來,通過結合安全訓練數據、對抗性測試和人機協(xié)作,AI生成代碼的安全性有望得到改善。(AI普瑞斯編譯)
