博客

Vibe Coding 会把你的代码库变成兄弟会派对吗?

皮特-丹休
发布于 2025 年 4 月 04 日

兄弟会派对和编码通常不能相提并论,但这是在被称为 "氛围编码 "的技术出现之前的事。"氛围编码 "的本质是,开发人员和非开发人员都可以利用代理人工智能编码工具,以提示的方式完成软件开发。虽然这种方法肯定能提高代码生产效率,但对于没有安全经验或技能的新手来说,太多的 "思考 "工作都外包给了人工智能,这就为严重的安全漏洞、错误配置和破损代码留下了足够的空间,如果不加以控制,它们就会渗透到代码库中。

你可以这样想:Vibe 编码就像大学里的兄弟会聚会,而人工智能则是所有庆祝活动的核心--小桶。放纵自己,发挥创意,看看自己的想象力能把你带向何方,是一件非常有趣的事情,但在喝了几桶酒之后,适度地喝酒(或使用人工智能)无疑是更安全的长期解决方案。

然而,我们所熟知的软件正在被颠覆,下一代开发人员--他们的技术堆栈中包含人工智能工具--将继续存在。事实上,约 76% 的开发人员正在或计划在软件开发过程中使用人工智能工具。现在,安全领导者有责任管理这项技术的使用,包括降低与开发人员相关的安全风险。

那么,安全专业人员如何才能安全地利用与人工智能编码相关的有望提高的生产力呢?完全禁止使用工具并不是解决办法,让安全团队手动监控每一行代码也不可行。答案在于让开发人员成为企业安全计划的核心,为他们提供所需的知识和工具,让他们了解风险,将安全放在首位,并成为解决方案的一部分。

人工智能代理是怎么回事?

在工作过程中,开发人员有很多事情要做,他们的职责往往会受到一些 "范围蠕变 "的影响。自然而然地,当有人以人工智能工具的形式向他们伸出援手,承诺提供高性能的自主编码能力时,他们会张开双臂拥抱它们。DeepSeek 等免费工具由于代码输出不安全、易于创建恶意软件等原因,给企业带来了不可接受的风险,但功能更强大的专有编码代理也并非没有重大风险。

我们的工程副总裁约翰-克兰尼(John Cranney)最近完成了一些代理人工智能工具的测试,从安全角度来看,结果相当令人担忧。尽管设置了一些防护措施,但安全问题仍然普遍存在,而对于不具备辨别代码好坏(阅读:可被利用)技能的新手来说,让这些代码在企业资源库中横行是一个糟糕的想法。

为软件安全的未来培养下一代开发人员

Vibe 编码、代理人工智能编码以及人工智能驱动的软件开发的下一次迭代都不会消失,它们已经改变了许多开发人员的工作方式。解决的办法不是完全禁止使用这些工具,也不是在团队中制造一个不受控制的 "影子人工智能"怪物,而是忽视风险,让公司蒙受损失。

下一代开发人员至关重要,现在正是让开发人员准备好有效、安全地利用人工智能的时候。必须非常清楚地说明人工智能/LLM 工具为什么会产生可接受的风险以及如何产生风险,并通过实际操作的学习途径提供必要的知识,以便在工作中管理和降低风险。如果做不到这一点,他们就不会意识到自己行为的危险性,也无法避免这种危险性。

Secure Code Warrior 与 600 多家企业客户合作,帮助他们提高开发团队的安全技能,结果不言而喻。我们拥有一系列与人工智能相关的学习途径、missions和工具,以确保您的团队能够茁壮成长,并从人工智能工具中获益,同时降低未加控制地使用这些工具所带来的风险。

一个优秀的、具备安全技能的开发人员使用人工智能将大大提高生产效率,而一个缺乏安全意识和技能的开发人员只会用脆弱的代码快速毒化代码库。立即联系我们,强化您的团队。

查看资源
查看资源

Vibe 编码就像大学里的兄弟会派对,而人工智能就是所有庆祝活动的核心--小桶。放纵自己,发挥创意,看看自己的想象力能把你带向何方,是一件非常有趣的事情,但在喝了几桶酒之后,适度地喝酒(或使用人工智能)无疑是更安全的长期解决方案。

想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
皮特-丹休
发布于 2025 年 4 月 04 日

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

兄弟会派对和编码通常不能相提并论,但这是在被称为 "氛围编码 "的技术出现之前的事。"氛围编码 "的本质是,开发人员和非开发人员都可以利用代理人工智能编码工具,以提示的方式完成软件开发。虽然这种方法肯定能提高代码生产效率,但对于没有安全经验或技能的新手来说,太多的 "思考 "工作都外包给了人工智能,这就为严重的安全漏洞、错误配置和破损代码留下了足够的空间,如果不加以控制,它们就会渗透到代码库中。

你可以这样想:Vibe 编码就像大学里的兄弟会聚会,而人工智能则是所有庆祝活动的核心--小桶。放纵自己,发挥创意,看看自己的想象力能把你带向何方,是一件非常有趣的事情,但在喝了几桶酒之后,适度地喝酒(或使用人工智能)无疑是更安全的长期解决方案。

然而,我们所熟知的软件正在被颠覆,下一代开发人员--他们的技术堆栈中包含人工智能工具--将继续存在。事实上,约 76% 的开发人员正在或计划在软件开发过程中使用人工智能工具。现在,安全领导者有责任管理这项技术的使用,包括降低与开发人员相关的安全风险。

那么,安全专业人员如何才能安全地利用与人工智能编码相关的有望提高的生产力呢?完全禁止使用工具并不是解决办法,让安全团队手动监控每一行代码也不可行。答案在于让开发人员成为企业安全计划的核心,为他们提供所需的知识和工具,让他们了解风险,将安全放在首位,并成为解决方案的一部分。

人工智能代理是怎么回事?

在工作过程中,开发人员有很多事情要做,他们的职责往往会受到一些 "范围蠕变 "的影响。自然而然地,当有人以人工智能工具的形式向他们伸出援手,承诺提供高性能的自主编码能力时,他们会张开双臂拥抱它们。DeepSeek 等免费工具由于代码输出不安全、易于创建恶意软件等原因,给企业带来了不可接受的风险,但功能更强大的专有编码代理也并非没有重大风险。

我们的工程副总裁约翰-克兰尼(John Cranney)最近完成了一些代理人工智能工具的测试,从安全角度来看,结果相当令人担忧。尽管设置了一些防护措施,但安全问题仍然普遍存在,而对于不具备辨别代码好坏(阅读:可被利用)技能的新手来说,让这些代码在企业资源库中横行是一个糟糕的想法。

为软件安全的未来培养下一代开发人员

Vibe 编码、代理人工智能编码以及人工智能驱动的软件开发的下一次迭代都不会消失,它们已经改变了许多开发人员的工作方式。解决的办法不是完全禁止使用这些工具,也不是在团队中制造一个不受控制的 "影子人工智能"怪物,而是忽视风险,让公司蒙受损失。

下一代开发人员至关重要,现在正是让开发人员准备好有效、安全地利用人工智能的时候。必须非常清楚地说明人工智能/LLM 工具为什么会产生可接受的风险以及如何产生风险,并通过实际操作的学习途径提供必要的知识,以便在工作中管理和降低风险。如果做不到这一点,他们就不会意识到自己行为的危险性,也无法避免这种危险性。

Secure Code Warrior 与 600 多家企业客户合作,帮助他们提高开发团队的安全技能,结果不言而喻。我们拥有一系列与人工智能相关的学习途径、missions和工具,以确保您的团队能够茁壮成长,并从人工智能工具中获益,同时降低未加控制地使用这些工具所带来的风险。

一个优秀的、具备安全技能的开发人员使用人工智能将大大提高生产效率,而一个缺乏安全意识和技能的开发人员只会用脆弱的代码快速毒化代码库。立即联系我们,强化您的团队。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

兄弟会派对和编码通常不能相提并论,但这是在被称为 "氛围编码 "的技术出现之前的事。"氛围编码 "的本质是,开发人员和非开发人员都可以利用代理人工智能编码工具,以提示的方式完成软件开发。虽然这种方法肯定能提高代码生产效率,但对于没有安全经验或技能的新手来说,太多的 "思考 "工作都外包给了人工智能,这就为严重的安全漏洞、错误配置和破损代码留下了足够的空间,如果不加以控制,它们就会渗透到代码库中。

你可以这样想:Vibe 编码就像大学里的兄弟会聚会,而人工智能则是所有庆祝活动的核心--小桶。放纵自己,发挥创意,看看自己的想象力能把你带向何方,是一件非常有趣的事情,但在喝了几桶酒之后,适度地喝酒(或使用人工智能)无疑是更安全的长期解决方案。

然而,我们所熟知的软件正在被颠覆,下一代开发人员--他们的技术堆栈中包含人工智能工具--将继续存在。事实上,约 76% 的开发人员正在或计划在软件开发过程中使用人工智能工具。现在,安全领导者有责任管理这项技术的使用,包括降低与开发人员相关的安全风险。

那么,安全专业人员如何才能安全地利用与人工智能编码相关的有望提高的生产力呢?完全禁止使用工具并不是解决办法,让安全团队手动监控每一行代码也不可行。答案在于让开发人员成为企业安全计划的核心,为他们提供所需的知识和工具,让他们了解风险,将安全放在首位,并成为解决方案的一部分。

人工智能代理是怎么回事?

在工作过程中,开发人员有很多事情要做,他们的职责往往会受到一些 "范围蠕变 "的影响。自然而然地,当有人以人工智能工具的形式向他们伸出援手,承诺提供高性能的自主编码能力时,他们会张开双臂拥抱它们。DeepSeek 等免费工具由于代码输出不安全、易于创建恶意软件等原因,给企业带来了不可接受的风险,但功能更强大的专有编码代理也并非没有重大风险。

我们的工程副总裁约翰-克兰尼(John Cranney)最近完成了一些代理人工智能工具的测试,从安全角度来看,结果相当令人担忧。尽管设置了一些防护措施,但安全问题仍然普遍存在,而对于不具备辨别代码好坏(阅读:可被利用)技能的新手来说,让这些代码在企业资源库中横行是一个糟糕的想法。

为软件安全的未来培养下一代开发人员

Vibe 编码、代理人工智能编码以及人工智能驱动的软件开发的下一次迭代都不会消失,它们已经改变了许多开发人员的工作方式。解决的办法不是完全禁止使用这些工具,也不是在团队中制造一个不受控制的 "影子人工智能"怪物,而是忽视风险,让公司蒙受损失。

下一代开发人员至关重要,现在正是让开发人员准备好有效、安全地利用人工智能的时候。必须非常清楚地说明人工智能/LLM 工具为什么会产生可接受的风险以及如何产生风险,并通过实际操作的学习途径提供必要的知识,以便在工作中管理和降低风险。如果做不到这一点,他们就不会意识到自己行为的危险性,也无法避免这种危险性。

Secure Code Warrior 与 600 多家企业客户合作,帮助他们提高开发团队的安全技能,结果不言而喻。我们拥有一系列与人工智能相关的学习途径、missions和工具,以确保您的团队能够茁壮成长,并从人工智能工具中获益,同时降低未加控制地使用这些工具所带来的风险。

一个优秀的、具备安全技能的开发人员使用人工智能将大大提高生产效率,而一个缺乏安全意识和技能的开发人员只会用脆弱的代码快速毒化代码库。立即联系我们,强化您的团队。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
皮特-丹休
发布于 2025 年 4 月 04 日

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

兄弟会派对和编码通常不能相提并论,但这是在被称为 "氛围编码 "的技术出现之前的事。"氛围编码 "的本质是,开发人员和非开发人员都可以利用代理人工智能编码工具,以提示的方式完成软件开发。虽然这种方法肯定能提高代码生产效率,但对于没有安全经验或技能的新手来说,太多的 "思考 "工作都外包给了人工智能,这就为严重的安全漏洞、错误配置和破损代码留下了足够的空间,如果不加以控制,它们就会渗透到代码库中。

你可以这样想:Vibe 编码就像大学里的兄弟会聚会,而人工智能则是所有庆祝活动的核心--小桶。放纵自己,发挥创意,看看自己的想象力能把你带向何方,是一件非常有趣的事情,但在喝了几桶酒之后,适度地喝酒(或使用人工智能)无疑是更安全的长期解决方案。

然而,我们所熟知的软件正在被颠覆,下一代开发人员--他们的技术堆栈中包含人工智能工具--将继续存在。事实上,约 76% 的开发人员正在或计划在软件开发过程中使用人工智能工具。现在,安全领导者有责任管理这项技术的使用,包括降低与开发人员相关的安全风险。

那么,安全专业人员如何才能安全地利用与人工智能编码相关的有望提高的生产力呢?完全禁止使用工具并不是解决办法,让安全团队手动监控每一行代码也不可行。答案在于让开发人员成为企业安全计划的核心,为他们提供所需的知识和工具,让他们了解风险,将安全放在首位,并成为解决方案的一部分。

人工智能代理是怎么回事?

在工作过程中,开发人员有很多事情要做,他们的职责往往会受到一些 "范围蠕变 "的影响。自然而然地,当有人以人工智能工具的形式向他们伸出援手,承诺提供高性能的自主编码能力时,他们会张开双臂拥抱它们。DeepSeek 等免费工具由于代码输出不安全、易于创建恶意软件等原因,给企业带来了不可接受的风险,但功能更强大的专有编码代理也并非没有重大风险。

我们的工程副总裁约翰-克兰尼(John Cranney)最近完成了一些代理人工智能工具的测试,从安全角度来看,结果相当令人担忧。尽管设置了一些防护措施,但安全问题仍然普遍存在,而对于不具备辨别代码好坏(阅读:可被利用)技能的新手来说,让这些代码在企业资源库中横行是一个糟糕的想法。

为软件安全的未来培养下一代开发人员

Vibe 编码、代理人工智能编码以及人工智能驱动的软件开发的下一次迭代都不会消失,它们已经改变了许多开发人员的工作方式。解决的办法不是完全禁止使用这些工具,也不是在团队中制造一个不受控制的 "影子人工智能"怪物,而是忽视风险,让公司蒙受损失。

下一代开发人员至关重要,现在正是让开发人员准备好有效、安全地利用人工智能的时候。必须非常清楚地说明人工智能/LLM 工具为什么会产生可接受的风险以及如何产生风险,并通过实际操作的学习途径提供必要的知识,以便在工作中管理和降低风险。如果做不到这一点,他们就不会意识到自己行为的危险性,也无法避免这种危险性。

Secure Code Warrior 与 600 多家企业客户合作,帮助他们提高开发团队的安全技能,结果不言而喻。我们拥有一系列与人工智能相关的学习途径、missions和工具,以确保您的团队能够茁壮成长,并从人工智能工具中获益,同时降低未加控制地使用这些工具所带来的风险。

一个优秀的、具备安全技能的开发人员使用人工智能将大大提高生产效率,而一个缺乏安全意识和技能的开发人员只会用脆弱的代码快速毒化代码库。立即联系我们,强化您的团队。

目录

下载PDF
查看资源
想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心