商傳媒|林昭衡/綜合外電報導
為因應人工智慧(AI)生成程式碼日益普及所帶來的資安挑戰,資安解決方案供應商Secure Code Warrior(SCW)於本週推出一款全新的AI代理程式「SCW Trust Agent」。這項創新工具旨在自動識別由AI編碼工具生成的程式碼,並自動套用相應的治理策略,以強化軟體開發的安全與合規性。
SCW執行長Pieter Danhieux表示,SCW Trust Agent讓DevSecOps團隊能夠利用AI驗證特定程式碼提交(commits)是由哪些AI模型所影響,進而將此影響與潛在的漏洞暴露關聯起來。透過這種方式,團隊可以在不安全的程式碼進入生產環境前,及時採取修正措施。此外,該AI代理程式也能偵測任何未經授權部署的Model Context Protocol(MCP)伺服器,進一步確保開發環境的安全性。
Danhieux進一步指出,SCW的基準測試數據亦可用於評估不同的AI模型,並根據可衡量的輸出,實施經批准的AI使用政策。例如,開發人員可能為了降低成本而使用某個AI模型,卻未意識到該模型可能產生更多漏洞,而這些漏洞在使用其他AI模型時並不會出現。藉由這些洞察,組織也能評估個別開發人員的AI專業能力,從而找出可能需要額外指導和培訓的問題點。
Futurum Group副總裁Mitch Ashley觀察指出,SCW Trust Agent將AI程式碼治理向前推進至程式碼提交階段,將模型影響與特定變更關聯,並將此歸因與漏洞暴露連結。這使得模型溯源成為整個開發生命週期中一個關鍵的治理訊號。Ashley強調,AI驅動的開發正以前所未有的速度改變開發的許多面向,程式碼提交的數量可能輕易翻倍甚至三倍。為此,掃描技術不僅需要上移至開發流程早期,更要從「掃描與報告」轉變為在程式碼源頭即能執行修復的代理程式,以適應多代理的開發環境。
目前,仍不清楚進入生產環境的程式碼有多少是由人類或機器生成,但隨著AI編碼工具的持續發展,未來大多數甚至所有程式碼都將由機器生成。當前最直接的挑戰是提供更高的程式碼生成透明度,以在品質與成本之間取得更好的平衡。未來,組織將對開發人員能存取的特定AI工具與服務,施加更嚴格的控制。在一個程式碼的生成方式將變得日益重要的時代,組織將不再允許開發人員隨意使用任何AI工具來提升生產力。
