生成式 AI 對軟體業帶來重大變化,根據微軟 2024 年第 4 季財報,AI 程式設計工具 GitHub Copilot 推出至今約兩年,已被超過 77,000 個組織採用。Anthropic 執行長 Dario Amodei 等專家更預計,未來 6 個月內,90% 程式碼將由 AI 生成。
隨著 AI 生成程式碼逐步進入企業開發環境,企業將不得不適應這種新的軟體開發模式,不過對於處理複雜企業應用程式的開發團隊來說,雖能加速軟體開發,但一個錯誤可能導致系統崩潰,這讓 AI 生成程式碼的管理變得更加重要。
AI 生成程式碼 4 大風險:企業不可忽視的隱憂
IBM 預估,2025 年企業的 AI 應用,將從實驗性質轉向實際部署。在此之前,已有不少組織吸取教訓,《VentureBeat》報導,一家金融機構曾因 AI 生成程式碼,導致每週系統中斷一次。
開源 DevOps 平台 Sonatype 產品研發長 Mitchell Johnson 認為,AI 是強大的工具,但在安全、治理和品質上,難以取代人類判斷。他分析,AI 生成程式碼主要有 4 大風險:
第一是安全風險。AI 訓練資料可能含有漏洞──AI 訓練時會使用大量開源數據,但其中可能包含已知漏洞或惡意程式碼,這些風險可能會隨著 AI 生成程式碼進入企業軟體供應鏈,成為安全隱憂。
第二,開發者可能盲目信任 AI,低估 AI 犯錯的可能性。Johnson 指出,許多開發者,尤其是經驗較少的工程師,可能會過度信任 AI 生成的程式碼,認為它是正確且安全的,而忽略適當的測試與審查。
第三,合規性和認知差距。AI 生成的程式碼,可能無法考慮企業的安全政策、法規要求或特定業務邏輯。
第四是治理挑戰,AI 生成的程式碼如果在缺乏適當的監督機制下擴散,會難以進行審核與管理。
供應鏈安全軟體公司 Endor Labs 資安長 Karl Mattson 告訴《VentureBeat》,企業可能使用多種閉源和開源 AI 模型來生成程式碼,其中不同開源模型的品質和安全態勢可能存在巨大差異,但企業不該因此阻止使用開源模型,而是了解其中風險並做出適當選擇。
用 AI 開發程式不必犧牲速度與安全,企業如何應對?
儘管 AI 生成程式碼具有風險,但透過適當的治理與技術管理,企業仍然能夠在不影響安全與合規的情況下,加速軟體開發。《VentureBeat》根據對軟體供應商的採訪分析,企業可採取 5 大策略來確保 AI 生成程式碼的安全與可靠性。
第一,建立嚴格的驗證流程。程式碼檢測公司 Sonar 執行長 Tariq Shaukat 建議,應確保開發者了解 AI 生成的程式碼,並進行適當的驗證,例如透過專門的 SCA(軟體成分分析)工具來識別 AI 生成的程式碼,並確保符合企業安全標準。
第二,認識 AI 的侷限,避免過度依賴。企業應該意識到,AI 雖然能生成程式碼,但無法完全取代人工開發。開發人員仍需負責最終的程式碼品質,並確保其符合企業需求。
第三,掌握 AI 生成程式碼的獨特問題。Shaukat 指出,AI 生成程式碼雖然減少了一些常見的語法錯誤,但可能因為「幻覺」產生架構問題,例如虛構變數或不存在的函式庫。企業應該建立內部機制,確保這些問題能夠被及早發現並修正。
第四,要求開發者對 AI 生成程式碼負責。Johnson 強調,開發者在提交程式碼之前,必須檢查、理解、驗證 AI 產出的每一行程式碼,而不是直接將其投入生產環境。
第五,簡化 AI 工具的審核與授權。Johnson 也指出,企業應該建立透明且高效的 AI 工具審核機制,避免「影子 AI」(Shadow AI)問題──許多組織過度限制 AI 生成程式碼的使用,反而導致員工私下採用未經批准的 AI 工具。與其完全禁止,企業應該提供明確的審核流程,讓開發者能夠安全地使用 AI 進行程式開發。
企業導入 AI 為何須重新思考資安?揭開資安攻擊的新破口 >>看專題<<
【推薦閱讀】
◆ Visa 如何讓員工使用 AI 又不外洩機敏資訊?靠的是投資 30 億美元的「數據基礎設施」
*本文部分初稿為 TechOrange 使用 AI 編撰,經《TechOrange》編撰,資料來源:《VentureBeat》、《The Wall Street》、IBM,首圖來源:ideogram 生成。
