ZDNET的关键要点持续部署让旧安全模型过时漏洞积压令开发团队不堪重负应用程序安全需向代码创建阶段转移。锻炼时在跑步机上反复踏步付出努力却原地不动毫无成就感第二天再重复就更觉沮丧。应用程序安全也类似编码完成后安全团队或客户会发现漏洞扫描工具的报告没完没了。开发人员要停下新开发工作重新熟悉代码定位并修复漏洞、发布补丁。77%的IT经理称其AI代理失控有5种控制方法。和在跑步机上一样新代码、新依赖项和新漏洞出现“查找 - 修复”循环就会重启。这一令人沮丧的过程常被称作“查找 - 修复”循环。安全和质量保证团队用漏洞扫描器和渗透测试发现问题后开发人员按漏洞报告设置分类队列还会安排修复冲刺。“查找 - 修复”更像是对已发布代码的被动反应人们希望在软件发布造成危害或客户要求可靠代码前修复安全漏洞但有些旧代码深处的安全漏洞难以修复代码修改叠加在有隐患的基础上找根本原因会引发更多问题。此外询问了5位数据领域领导者了解他们用AI实现自动化及终结集成噩梦的方法。这时“防御 - 推迟”做法登场。程序员和安全团队不修复易受攻击的代码而是设置防护墙如防火墙、运行时保护等可减少风险暴露但底层应用程序弱点仍未解决。问题是“查找 - 修复”和“防御 - 推迟”不会消失意外情况总会发生AI时代这种可能性更大。近半数网络安全专家想辞职原因在此。这两种做法已不够软件开发速度加快尤其是开发人员用AI辅助快速推出新版本和新功能时。发布更快修复更慢过去软件定期发布更新和新版本重大版本一年一次更新每季度一次。现在有了CI/CD持续集成/持续部署关键在“持续”。每次调整、冲刺、漏洞修复、依赖项更新等都可能引发安全问题速度之快让传统安全团队来不及审查。4个关键的AI漏洞被利用的速度比防御者反应速度还快。这还没考虑漏洞修复。安全团队审查代码时会发现成百上千问题问题发现速度比开发人员修复速度快。多数修复工作让开发人员无法专注创新和新代码开发导致上下文切换影响生产力。所以多数软件有未解决问题和漏洞队列需定期排序、处理。据Edgescan数据网络问题平均54天修复Web应用程序近75天。45%的大公司漏洞一年后仍未修复。软件会给用户带来问题漏洞会被攻击者利用已知未修补漏洞信息会被出售。最大的AI威胁来自内部有12种保护组织的方法。威瑞森2025年数据泄露事件报告显示20%的威胁行为者通过代码漏洞进入系统比上一年增加34%另外两种主要入侵方式是凭证滥用22%和网络钓鱼攻击16%。修补漏洞本可阻止20%的入侵攻击但并不容易。VulnCheck报告称32.1%的已知被利用漏洞在通用漏洞披露CVE发布当天或之前就有被利用证据高于2024年的23.6%。即供应商还没发现漏洞坏人就已利用。CVE是通知和跟踪已知漏洞解决情况的机制VulnCheck数据表明近三分之一漏洞在开发人员发现前就被坏人利用。我们不能只是加快修补速度不能仅要求开发人员提高修补代码速度或效率除人类程序员生理极限和AI的实际限制外还有实际问题。企业系统有依赖项、正常运行时间要求等小系统可能依赖无法控制的组件。比如某天早上5个旧网站无法运行托管运营商更改软件版本致自定义代码出错在OpenAI Codex帮助下花几天才修复。还有优先级排序疲劳问题每个漏洞都被视为关键问题时就没有真正重要的问题会让人应接不暇。AI会让网络安全过时吗还是硅谷故弄玄虚即使是AI驱动的漏洞扫描也无法解决问题如Anthropic Mythos等工具不能解决根本问题。扫描结果仪表盘会给人掌控局面的错觉但底层工程实践仍产生相同缺陷。IT运维人员会用网络或应用程序防火墙等工具采取“防御 - 推迟”方法这些“补偿控制”必要但可能成为修复根本问题的替代品很危险因为围绕薄弱软件的安全工具不能解决代码薄弱问题。事后修补不安全且成本高编写原始代码时防御性编码并修复更省时省力。现代开发改变了风险格局很难确定“现代开发”实践的起始时间从磁盘发布更新转向构建云服务时开发周期改变近几年AI辅助开发成为变革力量实践再次改变。现在的软件开发方法与“查找 - 修复”盛行时不同应用程序风险贯穿软件生命周期。企业AI代理可能成为终极内部威胁。AI改变了发布时间表加快进度、缩短周期但可能扩大代码创建和安全审查的差距。代码创建时间缩短、产出量增加但测试时间未相应减少。在Claude Code上开发Mac应用编写代码只需20分钟但测试需几小时编码时间可忽略不计测试时间占开发时间大部分没有AI辅助可能无法完成项目。还有7种用AI编码快速交付产品的技巧。关键是AI生成的代码不一定安全。Snyk报告称56.4%的开发人员常在AI生成代码中遇到安全问题80%的开发人员忽略或绕过组织的AI代码安全政策。改变应用程序安全的起点本文探讨了软件生产加速但安全是下游问题的情况就像跑步机加速代码增多问题也增多问题发现速度比修复速度快。要明确“查找 - 修复”和“防御 - 推迟”做法不会完全摒弃意外情况总会发生仍需扫描、修补、监控和运行时防御但应作为第二层安全网。可在评论中分享组织中漏洞积压是可控过程还是无尽队列。人工智能相关内容- 尝试本地、开源且免费的Claude Code替代方案——了解其工作原理- 立即从Windows 11中移除Copilot AI的方法- AI自我毒害致模型崩溃——解决办法在此- 识别AI生成图像的6个明显虚假迹象及常用免费检测工具