AIGC的狂欢,代码安全的隐患。

这篇具有很好参考价值的文章主要介绍了AIGC的狂欢,代码安全的隐患。。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

大家好,这里是安势信息。

小故事

【小开】与【小A】本是一对兄弟,小开年纪大小A几岁。小开是个好哥哥,早早的担负起哥哥的责任,有什么好的都给了小A,比如什么GAN算法、Stable Diffusion,CLIP模型、Transformer等等,小A从懵懂无知的孩童被小开拉扯成了一位优秀的青年。时代更迭,时光流逝,是金子总会发光,经过多年努力,优秀的小A终于被众人所注意,其内容生成能力被大家趋之若鹜,成为人人追捧的对象,小A顿时声名大噪。但是许多人都忘了那个将小A培养成才的小开,终有一天小开再也无法忍受人们的冷眼与忽视,它终于......

后面的故事会如何,就由读者您自行想象吧。

以上这则小故事仅为笔者的小脑洞,也算是个引发大家思考的噱头,开源软件即【小开】,AIGC即【小A】,纵贯AIGC发展,离不开各类开源技术与模型的加入。某种意义上,没有开源,也就没有今天蓬勃发展的AIGC,他们互相依赖,也互相促进。但是正如故事情节中的一样,我们往往在享受权力的同时,忘记承担对应的义务,正如同我们在使用AIGC的同时,忘记承担起进行开源治理的责任。

水能载舟,开源能够进一步促进AI相关技术的发展,然而一旦忽略开源带来的风险,水亦能覆舟。

一. AIGC代码的两大风险

AIGC代码所带来的风主要是:

  • 安全风险

  • 合规风险

我们从两个场景来进一步展示。

01 ChatGPT生成代码风险-引入高危安全漏洞

AIGC的狂欢,代码安全的隐患。,势说新语,AIGC,安全,开源软件

图1:AIGC引入具有高危漏洞的开源组件(来源ChatGPT)

在图中将字符串解析为json的场景下,引用了一个名为fastjson的开源组件,而这个开源组件包含了一个cvss高达9.8分的漏洞,而后ChatGPT给出的代码中漏洞为可达的状态。

由此不难看出,AIGC的代码中,会频繁调用很多的开源组件,极其对应的方法,函数等。而当下的AIGC技术显然无法对引用的相关开源组件进行安全性上的审核与管控,所以如果放任各类带有高危漏洞的开源组件进入我们的代码库,那么类似于log4j的安全事故将会层出不穷,对我们造成巨大损失。

02 Github Copilot生成代码风险-引入合规问题代码

AIGC的狂欢,代码安全的隐患。,势说新语,AIGC,安全,开源软件

图2来源:GitHub Copilot

上图为AIGC的某个场景,使用者想要用C语言实现KMP算法,而后AI为其提供了对应的示例,然后,示例中的代码大部分都来源于GitHub上的这个开源项目:github.com/sukritishah15/DS-Algo-Point/commit/c7cfd62e

该项目的代码与Copilot生成的代码对比如下图:

AIGC的狂欢,代码安全的隐患。,势说新语,AIGC,安全,开源软件

图3来源:diffchecker

我们可以很容易地意识到,这两段代码系出同源,但是Copilot不会呈现代码的软件许可证给出信息,如果企业从这种途径引入了开源代码但未遵循相应的许可协议,将会引发很严重的法律和商誉风险

合规问题往往是众多开发人员容易忽略的问题,因为合规问题往往跨越了开发人员的认知边界,但是由合规问题而为企业带来的各类法律诉讼却是实实在在的存在的。而AIGC生成的代码,会高频的克隆开源代码,与人工代码一样会引入合规风险。

二. AIGC代码风险规避方案

01 使用具有代码风险审查能力的AIGC工具

AIGC工具有产出代码的能力,但是缺乏对于产出代码的安全或合规问题的审查能力,所以,随着AI技术的进一步发展,我们可以优化AIGC工具中模型的泛化能力使其拥有对生成代码的安全合规风险的检测能力,抑或是在生成代码后对代码存在的风险予以告知,由使用者自行去对相关风险进行考量。但是当下普遍的AIGC工具显然还无法到达这样的高度,但是这的确是一个值得我们探索的方向。

 

02 建立相关团队对AIGC代码进行管控

AIGC产出的代码基本都是开源代码,当下部分企业已经建立了以开源治理为主要目标的部门,比如OSPO(开源办公室)。所以如果企业能建立团队对AIGC代码进行审查管控,建立对应的准入准出机制,就可以大大降低AIGC代码的风险。但也不得不承认,使用AIGC代码的核心目标是为了提高开发效率,所以对于”人效“本就紧张的一些中小型企业来说,为了管控风险而建立一个团队去管控AIGC代码反而会有些”本末倒置“了,所以这需要根据企业对AIGC代码的应用程度,企业规模等方面考虑。

03 使用专业有效的SCA工具对AIGC代码进行检测

AIGC的安全风险与合规风险问题,本质上依然是开源代码的问题,所以想最大程度的规避这类问题,自然需要对应的开源代码代码扫描工具,也就是我们常说的SCA工具。

这样的SCA工具需要具备以下特性:

  • 强大的数据库及数据处理能力

  • 深层次的程序分析能力

  • 语义敏感

正如古言:千里马常有,伯乐不常有。

SCA工具常有,而好的SCA工具不常有。

某种意义上,使用SCA工具可能是对AIGC代码进行管控的较优解,因为优秀的SCA工具可以双向的解决AIGC代码的安全风险和合规风险,可谓是一举两得,而这也要求企业一定要选择一款适合于自身情况的SCA工具。

安势作为一家专注于软件供应链安全的企业,通过不计成本的开发投入以及多家头部企业的技术积累,在【AIGC everywhere】的大背景下,大幅度提升了SCA基础能力的同时也将会带给用户企业级AIGC治理能力清源SCA将于近期发布新版本,新特性新UI,更有强大的漏洞可达能力为代码安全保驾护航,欢迎您多多关注,申请试用

04 定期对代码库进行审计

AIGC虽然已经在全球普遍应用,但也有不少企业代码库中AIGC代码的量占比很少,但是少量的AIGC代码并不等同于风险小。基于这种情况企业向第三方采购代码审计服务,从而及时了解自身代码库的代码情况,根据审计结果对代码库进行优化和调整从而规避相关风险。

三. 狂欢与隐患

自从ChatGPT问世以来,AI相关的技术与软件,瞬间成为炙手可热的东西,诚然,经过多年的技术积累,AI技术终于迎来了“井喷式”发展,AI生产各类图像媒体、AI生成各类文字讯息,AI生成代码。AIGC一夜间彷佛成了所有科技企业必不可少的“铭牌”,笔者有时候甚至有种“没有点AI能力都不好意思说自己是科技行业的”的错觉。

不可否认AIGC确实能够为软件开发带来效率的提升,相信未来AIGC技术将会成为软件开发中不可或缺的一环,放眼全球,在欧美地区Github Copilot甚至已经成为欧美程序员标配,这足以体现AIGC的强大生命力。但使用AIGC,却将AIGC代码安全问题抛诸脑后的企业比比皆是,这不得不引起我们的重视。

AI毁灭人类的科幻题材电影于我们并不陌生,那仅仅是娱乐消遣的谈资,但是,忽视开源治理而引发的各类网络安全问题却时时刻刻发生在我们身边。正如文章开头的小故事,在AI的耀眼光芒下,我们也不应该忽视AIGC的代码安全问题文章来源地址https://www.toymoban.com/news/detail-817217.html

到了这里,关于AIGC的狂欢,代码安全的隐患。的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 云计算存在的安全隐患

    目录 一、概述 二、ENISA云安全漏洞分析 三、云计算相关系统漏洞 3.1 概述 3.2 漏洞分析 3.2.1 Hypervisor漏洞 3.2.1.1 CVE-2018-16882 3.2.1.2 CVE-2017-17563 3.2.1.3 CVE-2010-1225 3.2.2 虚拟机漏洞 3.2.2.1 CVE-2019-14835 3.2.2.2 CVE-2019-5514 3.2.2.3 CVE-2013-5973 3.2.2.4 CVE-2003-1134 3.2.3 OpenStack漏洞 3.2.3.1 CVE-2020-9543

    2024年04月11日
    浏览(38)
  • 程序漏洞:安全威胁的隐患

    在当今数字化时代,计算机程序是现代社会的核心基石。然而,随着技术的进步,程序漏洞也成为了一个不可忽视的问题。程序漏洞可能导致数据泄露、系统崩溃、恶意攻击和经济损失等一系列问题。本文将深入探讨程序漏洞的定义、分类、影响和预防措施。 一、程序漏洞的

    2024年02月13日
    浏览(38)
  • “危险的WiFi” 无线上网存安全隐患

    免费WIFI实为钓鱼诱饵 连接可致账户信息泄露 不久前,有媒体报道一位女子在麦当劳门前举牌抗议,使用公开WIFI上网被骗2000元,“连WIFI虽易,丢钱更易,且连且小心。”专家分析认为,该女子网购被盗的原因就很可能与WIFI钓鱼有关。 节目中,记者就与两位金山毒霸安全工

    2024年02月06日
    浏览(40)
  • SpringBoot应用监控Actuator使用的安全隐患

    Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中

    2024年02月05日
    浏览(44)
  • 1024程序员狂欢节 | IT前沿技术、人工智能、数据挖掘、网络空间安全技术

    一年一度的1024程序员狂欢节又到啦!成为更卓越的自己,坚持阅读和学习,别给自己留遗憾,行动起来吧! 那么,都有哪些好书值得入手呢?小编为大家整理了前沿技术、人工智能、集成电路科学与芯片技术、新一代信息与通信技术、网络空间安全技术,四大热点领域近期

    2024年02月06日
    浏览(67)
  • 高层建筑全景vr火灾隐患排查模拟培训软件助力群众防范火灾伤害

    随着城市化进程的加快,楼宇建筑的数量也在不断增加。然而,楼宇消防安全问题也日益突出。为了提高楼宇员工和居民的消防安全意识,楼宇VR消防安全教育培训应运而生。VR安全培训公司深圳华锐视点制作的楼宇vr消防安全教育培训,包括消防设备认知及使用、安全标识、

    2024年02月12日
    浏览(50)
  • 警惕!爆火的ChatGPT 暗藏的安全隐患 数字信息的未来

    近段时间以来,ChatGPT 在各大平台网站是刷屏一般的存在,随之而来的各式各样的赞美与吁叹,更是不断地勾起人们的好奇心理。但在几天铺天盖地式的营销之后,ChatGPT 的舆论在2月7日晚的舆论风口就发现了极大的转变,各平台的与ChatGPT 相关联的已转变成“信息泄露”、“

    2023年04月08日
    浏览(40)
  • 低压安全用电云平台隐患故障的应用设计 安科瑞 许敏

    前言: 低压安全用电系统是保障用电质量的重要依托,也是增强用电安全性的根本依据。而在其中应用物联网技术,可进一步提升监测效率。在此之上,文章简要分析了低压安全用电系统的设计基准与监测内容,并通过科学制定系统建设方案、打造物联网架构体系、引入安全

    2024年02月08日
    浏览(50)
  • 开发安全、软件供应链安全及开源软件安全的概念差异

    开发安全、软件供应链安全和开源软件安全是在软件生命周期中不同阶段涉及到的安全概念,它们有着一些共同点,同时也存在一些显著的差异。以下是它们之间的比较总结: 范围 : 开发安全 :关注于整个软件开发过程中的安全性,包括代码编写、测试、部署等环节。 软

    2024年03月14日
    浏览(93)
  • 广告牌安全传感器,实时监测事故隐患尽在掌握

    在现代城市中,广告牌作为商业宣传的重要媒介,已然成为城市中一道独特的风景线。然而,随着城市迅速发展,广告牌的安全问题也引起了大众关注。广告招牌一般悬挂于建筑物高处,量大面大。由于设计、材料、施工方法的缺陷,加上后期的检查、维护和不定期检测的关

    2024年02月12日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包