AIPress.com.cn报道
1月14日消息,AI安全公司Tenzai发布研究报告,指出OpenAI和Anthropic等公司提供的AI编程工具在生成网站代码时存在系统性安全缺陷。研究发现,这些工具生成的网站在防御跨站脚本攻击(XSS)、SQL注入等常见漏洞方面存在不足,可能导致敏感信息泄露或资金被未经授权转移。
Tenzai在实验中测试了OpenAI的代码生成工具、Anthropic的Claude,以及Cursor、Replit、Devin等平台,结果显示AI生成代码虽然功能性强,但往往忽视安全性,尤其是对新手开发者而言,容易遗漏必要防护措施。
安全专家指出,随着AI工具在企业快速原型开发中的广泛应用,这些漏洞可能被大规模放大。AI模型的训练依赖于历史代码数据,其中包括过时或不安全的编码模式,因此即使是先进工具也可能继承缺陷。
为应对安全风险,Anthropic采取措施限制未经授权的访问,并针对竞争者如xAI进行了访问控制。与此同时,OpenAI也在加强内部防护机制,并增设相关岗位以监控和缓解潜在漏洞。
开发者被建议在使用AI生成代码时采取混合策略:将AI作为创意和模板工具,但对安全关键部分进行人工审查和自动化安全扫描。行业内正在讨论制定针对AI生成代码的安全标准,例如欧盟《人工智能法案》可能要求公开漏洞报告。
Tenzai研究提醒,AI工具的便利性与潜在风险并存,安全意识和监管措施将成为确保AI编码应用可靠性的关键。未来,通过结合安全训练数据、对抗性测试和人机协作,AI生成代码的安全性有望得到改善。(AI普瑞斯编译)
