本期電子報為您帶來「2025 年 AI 與安全設計的十大關鍵預測」,這份預測是由 Secure Code Warrior 技術研究團隊所分享,他們長年專精在安全程式開發領域,同時也是 OWASP Top 10 組織的 Sponsor。現在就讓我們來看一下 AI 與安全設計的組合究竟會擦出那些火花吧!
展望 2025 在這個充滿挑戰且興奮的一年之後,AI 與軟體開發的結合,將持續為開發者社群帶來重要且深遠的影響。在人工智慧的浪潮下,企業在 AI 的使用與管理上面臨艱難的決策。如何使用 AI 提高長期生產力、資安投報率以及永續發展成為時代新課題。
在過去幾年中,我們已經認知到 AI 是無法完全取代開發者,它將發展出與開發者密切的合作關係,而隨著「安全設計」(Secure-by-Design, SBD)的主流期望愈發強烈,讓我們仔細探討明年可能會出現的發展趨勢:
隨著某些企業大幅削減成本,開發人員被 AI 工具取代的未來似乎近在眼前。就如同當年生成式 AI 剛問世時一樣,即使經過多年的版本更迭與其他類似 AI 的出現,AI 目前仍不能被視為一個安全且自動化的生產力工具,特別是在程式開發方面。AI 雖然是一項顛覆性的技術,也有許多令人驚艷的應用方式,但它仍無法完全取代專業的人類開發者。我同意 Forrester 的預測,從長遠來看,AI 取代人類開發者的趨勢極可能會失敗。在我看來,AI 與開發者的結合反而能發揮出 1+1 大於 2 的效果。
在 2025 年,AI 生成的程式碼將帶來更多新的風險,已知的問題如幻覺搶註(hallucination squatting)、受污染的程式庫,以及影響軟體供應鏈安全等。此外,AI 不僅會被用來找出程式碼漏洞,還可能被用來撰寫攻擊程式,Google 的 Project Zero 就已經證明了這點。
不過,我認為企業開發者會逐漸能熟練使用 AI,有些人能夠有效利用這些工具,而不會讓風險大幅增加。但這種情況只是少數,關鍵還是取決於企業是否有意識地衡量開發風險,並持續優化安全策略。
在 2025 年這個快速演變的環境中,真正能寫出安全、高效率程式碼的,會是那些具備安全意識、並使用企業批准的 AI 工具的開發者。相反地,如果開發者對安全沒什麼概念,或者技術能力不足,那麼 AI 只會讓他們更快地產出各種漏洞和問題。
為了因應 AI 技術的快速發展與普及,相關法規正在加速制定與調整。在 2025 年,對管理階層而言,需要確保員工合法合規,而對組織來說,除了要充分掌握企業內部的使用情況,還要防範『*影子 AI』(shadow AI)的出現。嚴格控管員工只能使用經過核准、驗證,且已正式安裝在公司系統上的 AI 工具。為此,組織需更深入地了解開發團隊,探索如何進一步地協助團隊持續提升資安能力,並確保這些能力能夠融入工作中。
註:影子 AI 指的是未經組織正式核准但員工私下使用的 AI 工具
在大型語言模型驅動的開發工具(LLM-powered coding tools)市場上,目前可說是一片混亂。工具不斷推陳出新,每一個都宣稱能提供更好的輸出結果、更高的安全性和更強的生產力。隨著我們邁向2025年,我們需要一個標準來衡量每個AI工具的安全性。尤其是撰寫程式碼的能力,必須具備不受駭客惡意利用或影響的能力,並能生成良好且安全的程式範本。
由於現在的工作模式漸漸趨向混合與遠距上班,而且對初級職位的技能要求日益提高,讓開發人員面臨更高的入門門檻。在 2025 年,多數雇主將期待初階開發人員在入職前,就具備能在工作中善用 AI 工具的技能,而非入職後才訓練這項能力。
在未來一年內,具有安全運用AI的能力將成為關鍵,那些無法善用 AI 工具的開發人員,可能會在求職與升遷中處於劣勢。當他們跟不上這股趨勢,這些開發人員將會失去參與重要專案的機會。
若要實現「安全設計」,開發人員需要充足的時間和資源來自我提升,並熟練掌握相關工具和方法。但若無法獲得安全主管和開發主管的支持,成長的速度就會相當緩慢,甚至停滯。當企業想要節省成本時,往往會選擇治標的短期措施,而非著眼於長期的治本之道。例如有些企業寧願採用多功能的補救工具(Remediation tools),承擔這些工具並非面面俱到的風險,也不願意培訓自家的員工從源頭降低安全風險的技能。到了 2025 年,重視安全軟體開發並提早投入的企業,會與那些臨陣磨槍,被市場及法規逼著改變的企業大幅拉開差距。
所有承包商和第三方供應商將面臨更嚴格的審查。因為即使企業內部擁有完美的安全規劃,但如果合作的外包公司沒有實踐安全設計,就會危及整個安全架構。所以,企業需要開始嚴格審查外包的專案,並要求這些包商嚴格的遵守安全標準和產業法規。總而言之,安全團隊的成功取決於內部開發者和所有外部合作夥伴之間,是否建立了一致的安全態度。
開發團隊在使用程式碼漏洞掃描工具時,經常為掃描產生的誤報而困擾。他們必須逐一檢視才能確定被標記的漏洞是否存在安全風險。到了 2025 年,AI 已經能夠更深入的理解程式碼,因此在程式碼修復方面能夠協助開發人員快速識別關鍵問題。透過利用機器學習,AI 可以根據情況更準確地判斷威脅優先級,減少開發人員判斷是否誤報的時間。這將使團隊能夠專注於真正具有風險的漏洞,從而提高整體效率並實現更快、更安全的開發週期。
在 2025 年,缺乏安全基準將會嚴重阻礙組織達成「安全設計」 的目標。如果沒有建立 Benchmarking 系統來評估團隊對安全程式開發規範的遵循程度,就無法有效的改進安全性,也就更容易在無意中引入漏洞,最終導致重大資安事件的發生。事件一旦發生了,組織更沒時間理會 Benchmarking,只能被迫在開發團隊安全成熟度不明的情況下,倉促推動安全設計計畫,最終讓企業面臨更大的風險。
眾所周知,這個行業已經存在嚴重的技術債問題,而這還僅限於已經現存的程式碼。隨著開發人員愈發依賴 AI 生成大量安全性堪憂的程式碼,再加上管理層監督能力有限,情況只會變得更糟。這種情況很可能導致明年的 CVE 通報數量增加十倍。
展望 2025,企業必須以負責且安全的方式導入 AI,同時為開發團隊提供適當的培訓,並投資於風險管理措施。隨著 CISA 安全設計承諾將迎來一週年,那些優先考慮安全開發方法,以最大程度降低 AI風險 、消除供應鏈安全疑慮和掌握其他新興威脅的企業,將會能夠保持競爭優勢。
以上就是 Secure Code Warrior 技術研究團隊想跟大家分享的「2025 年 AI 與安全設計的十大關鍵預測」全部內容,是否激發您更多想法呢?叡揚資訊與您一起做好相關的安全準備,迎接令人振奮的 2025 年吧!