2025 AI 與安全設計 十大關鍵預測

過去幾年中，我們已經清楚地意識到，AI 是無法完全取代開發者角色的，但未來它將與開發者有著密切的合作關係，而隨著「安全設計」（Secure-by-Design）的主流期望愈發強烈，讓我們探討 2025 年可能會出現的相關發展趨勢。

重新定義 AI 方程式：不是 AI 取代開發人員，而是 AI+開發人員

在 2025 年許多企業可能會為了節省成本而大量削減開支，因此「使用 AI 工具取代開發人員」似乎近在眼前，就如同當年生成式 AI 剛問世時。但即使經過多年的版本更迭與優化，AI 在程式開發方面仍無法成為安全且能自主運作的生產力工具。AI 雖然是一項極具顛覆性的技術，也有許多令人驚艷的應用方式，但目前仍無法完全取代具備專業能力的開發人員。國外市場分析公司 Forrester 預測，從長遠來看，AI 取代開發人員的趨勢極可能是無法執行的。相比之下，「AI 與開發者協作」的模式才更有可能實現真正的效率提升與創新成果。

使用 AI 的風險與機會並存

在 2025 年，AI 生成的程式碼將帶來更多新的風險，其中包括先前已知問題的惡化，如幻覺佔用（hallucination squatting）、受污染的第三方函式庫，以及對軟體供應鏈造成的各類攻擊。此外，AI 不僅會被用來找出程式碼漏洞，還可能被用來撰寫攻擊程式，Google Project Zero 已經證明了這點。

不過，我們認為企業開發團隊會逐漸地熟練使用 AI，並能夠有效利用這些工具提升工作效率，而不帶來過多額外風險，但關鍵還是取決於企業是否有意識地衡量開發風險，並持續優化安全策略。在 2025 年這個快速演變的環境中，真正能寫出安全、高效率程式碼的，將會是那些具備安全意識並善用合規 AI 編程工具的開發人員。相對地，缺乏資安觀念與專業能力的開發人員若貿然使用 AI，只會加速引入更多問題與風險。

擺脫影子AI

隨著 AI 技術的快速發展與普及，相關法規也正在加速制定與調整。面對 2025 年的法規與合規挑戰，資安管理階層必須提前做好準備，因應未來可能出現新的 AI 合規要求。除了要充分掌握企業內部的 AI 使用情況，還要防範「影子 AI」 （shadow AI），嚴格控管員工只能使用經過核准、驗證，且已正式安裝在公司系統上的 AI 工具。

為此，企業也需重新檢視開發團隊的狀況，評估他們在資安知識與實務上的需求，並持續提供相應的支援與訓練。唯有如此，才能確保開發人員在 AI 時代中具備足夠的資安能力，將安全意識落實於日常工作的各個環節。

註：影子 AI 指的是未經組織正式核准但員工私下使用的 AI 工具。

AI 工具的安全性將成為開發人員 選擇工具時的重要指標

目前市場上各種基於大型語言模型 （LLM）的程式編寫工具百花齊放，缺乏統一規範或標準，呈現「自由競爭、 混亂無序」的狀態。這些工具不斷推陳出新，都聲稱能提供更好的程式碼品質、更高的安全性和更強的生產力。展望 2025 年，開發者與企業需要建立一套標準化的評估機制，來衡量這些 AI 工具在資安方面上的表現。

這樣的評估應包括工具在程式碼生成能力上的表現，特別是它是否能產出具備良好且安全的程式設計模式，避免被惡意攻擊者利用。未來，AI 工具的資安可信度，將成為開發者選擇與部署時的關鍵考量。

AI 將使初階開發人員進入軟體開發領域變得更加困難

隨著產業對開發人員技能要求不斷提高，初階開發者正面臨較高的入門門檻。在遠距與混合辦公日益普及的背景下，企業對入門職位的技術水準與工作獨立性的期待也水漲船高。在 2025 年，多數雇主將期待初階開發者一開始就能掌握並安全地運用 AI 工具於工作流程中，提升效率與品質，而非入職後再花時間培訓。

在這樣的轉變下，「安全使用 AI」將成為開發人員的核心能力之一，若開發人員無法善用 AI 工具，可能會在求職與升遷中處於劣勢。開發人員未來不再只是會寫程式，而是要懂得如何與 AI 協作、共同產出安全、高效的程式碼。

企業缺乏時間與資源投入 難以真正實現「安全即設計」

開發人員要實踐「安全即設計」（Secure-by-Design）需要足夠的時間與資源來學習、精進技能，並熟悉正確的工具與開發流程。如果企業內部的資安與技術領導層不支持這樣的轉型， 相關計畫將難以推進，甚至可能完全停滯。當企業為了節省成本或限制資源時，通常只會處理眼前問題，而忽略長期建設，例如有些企業寧願採用多功能的補救工具（Remediation tools），承擔這些工具並非面面俱到的風險，也不願意培訓員工，從源頭降低安全風險。到了 2025 年，這種短視與長期投入的差異，將導致企業在資安實力上的落差愈來愈大。

供應鏈安全稽核將成為降低整體風險的關鍵步驟

所有承包商和第三方供應商將面臨更嚴格的審查。即使企業本身的資安做得再好，只要外包廠商沒有落實「安全即設計」（Secure by Design）的原則， 整體的資安架構仍可能因此遭到破壞。因此，企業需要加強對外包專案的審查，並要求外包廠商必須遵循嚴格的資安標準與產業法規。總而言之，資安團隊能否成功，取決於是否能用全盤、整合的角度來管理，不只企業內部，也包含所有外部合作夥伴。

AI 將在「過濾誤報」方面 發揮重要作用

開發團隊經常受到程式碼弱點掃描工具的「誤報」困擾，開發人員必須逐一檢視才能確定被標記的漏洞是否存在安全風險。到了 2025 年，AI 將成為協助開發人員「排除雜訊」的重要工具，幫助他們更深入地理解程式碼，辨識哪些問題才是需要優先處理的高風險漏洞。利用機器學習，AI 可以根據情況更準確地判斷威脅優先級，減少開發人員判斷是否誤報的時間，這將使團隊能夠專注於真正具有風險的漏洞，從而提高整體效率並實現更快、更安全的開發週期。

Benchmarking（基準分析） 讓企業實現安全設計目標

當企業缺乏一套明確的資安基準時， 將難以衡量自身在實踐「安全即設計」（Secure by Design）方面的進展。沒有這樣的基準制度，團隊在開發過程中可能未能確實遵守安全撰碼原則，進而在不自覺的情況下引入漏洞，增加遭遇重大資安事件的風險。一旦真的發生資料外洩或系統被攻擊的情況，企業往往無暇建立完善的基準制度，只能被迫加快推行安全措施，卻無法先評估開發團隊的資安成熟度，這種情況反而可能使企業暴露於更大的風險之中。因此，提早建立並執行資安基準制度，是邁向安全開發目標不可或缺的一步。

以 AI 生成程式碼 導致的技術負債

目前整個資訊產業本來就存在嚴重的 「技術債」（technical debt）問題，指的是過去撰寫的程式碼因為品質不佳或缺乏維護而留下的技術負擔。隨著越來越多開發者「盲目依賴」本身就可能不安全的 AI 生成程式碼，加上企業管理層監督能力有限，技術債問題只會更加惡化。這樣的情況可能會導致 CVE 數量在未來一年激增，甚至達到現在的十倍。

展望 2025，企業必須以負責且安全的方式導入 AI，同時為開發團隊提供適當的訓練與投入風險控管資源。隨著美國 CISA（資安暨基礎設施安全局）提出「安全即設計」承諾即將滿一週年，那些能優先落實安全開發方法的企業，將更有能力因應與 AI 有關的風險、第三方供應商的資安挑戰，以及不斷湧現的新興威脅，也將因此在市場上保有競爭優勢。

關於 Secure Code Warrior 線上安全程式培訓平台

Secure Code Warrior 是一款專為開發人員設計的線上安全程式培訓平台，透過互動式學習與實作訓練，幫助企業開發團隊提升安全程式開發能力，降低應用程式中的安全風險與漏洞數量。

平台教材支援 60 多種開發語言及開發框架，涵蓋 155 種以上的弱點課程，開發人員可以在熟悉的環境中學習如何識別與修復常見的安全漏洞，如SQL Injection、XSS、弱加密等，並透過即時回饋與遊戲化機制增強學習效果。Secure Code Warrior 具備進階分析與報告功能，協助企業了解開發團隊學習進度與安全能力提升的情況，同時符合 OWASP、NIST 等安全標準。企業可以靈活搭配豐富的教材與訓練方式，將 Secure Code Warrior 應用在員工能力健檢、徵才面試、組織內競賽活動等多種情境上。

了解 Secure Code Warrior 線上安全程式培訓平台>>>https://www.gss.com.tw/mssp/scw