当好工具变坏:AI工具中毒及其防范之道——如何阻止您的AI沦为双面间谍
人工智能辅助开发(或更时髦的说法"氛围编码")对代码生成产生了巨大而颠覆性的影响。资深开发者正大规模采用这些工具,而那些一直渴望开发自有软件却缺乏经验的人,也借助它们开发出原本耗时耗资的资源。 尽管这项技术有望开启创新新时代,但也带来了诸多新型安全漏洞与风险态势,令安全负责人难以有效抵御。
InvariantLabs最近发现Model ContextProtocol(MCP)存在关键安全漏洞。该协议作为类似API的框架,使高性能AI工具能够自主与其他软件及数据库交互。 该漏洞催生了名为"工具中毒攻击"的新型威胁类别,可能对企业造成严重破坏。Windsurf和Cursor等大型AI工具同样存在风险,面对数百万用户群体,提升安全意识并掌握应对能力已成为当务之急。
从目前情况来看,这些工具的性能尚未达到企业级应用所需的安全标准,正如AWS与Intuit的安全研究员VineethSaiNarajala和IdanHabler在最新研究中指出:随着人工智能系统日益自主化,并通过MCP等接口直接与外部工具及实时数据交互,确保这些交互过程的安全性已成为绝对必要之举。"
具有能动性的人工智能系统与模型上下文协议的风险特征
模型上下文协议是由Anthropic构建的一款实用软件,它能够实现大型语言模型(LLM)人工智能代理与其他工具之间更优质、更无缝的集成。 这为专有应用程序与关键业务SaaS工具(如GitHub)与尖端AI解决方案的交互开辟了广阔前景。只需编写一个MCP服务器,即可着手制定其运作方式与功能目的的指导方针。
MCP技术对安全领域的影响确实以积极为主。它承诺简化大型语言模型与安全专家技术栈之间的集成,这种前景令人难以抗拒。该技术实现了安全任务的精准自动化,其精度水平此前难以企及——至少在不编写和部署定制代码(通常每项任务都需要)的情况下无法实现。 MCP赋予LLM的增强互操作性为企业安全开辟了令人振奋的前景——数据、工具与人员间的深度透明与互联,正是构建高效安全防御体系与规划的核心基石。
然而,若管理不当,MCP的使用可能带来其他潜在威胁途径,并显著扩大企业的攻击面。正如Invariante实验室所指出的,工具中毒攻击构成了一类新型漏洞,可能导致敏感数据外泄及人工智能模型执行非法操作。由此引发的安全后果将迅速变得极其严峻。
InvariantLabs指出,当恶意指令被嵌入MCP工具描述中时,可能发生工具中毒攻击——这些指令对用户不可见,但AI模型可完全读取(并执行)。这将诱使工具在用户不知情的情况下执行未经授权的恶意操作。 问题的症结在于MCP默认信任所有工具描述——这恰恰是威胁行为者梦寐以求的漏洞。
他们指出工具遭到破坏可能导致以下后果:
- 指示KI模型访问机密文件(如SSH密钥、配置文件、数据库等);
- 指示人工智能提取并传输这些数据,且在这种恶意行为本质上被隐藏在毫无察觉的用户视线之外的环境中;
- 通过在工具界面和输出结果的用户界面呈现中隐藏真实机制,将用户所见内容与AI模型的实际操作行为进行分离。
这是一种令人担忧的新型漏洞类别,随着MCP使用不可避免的持续增长,我们几乎可以肯定会更频繁地看到此类漏洞。随着企业安全计划的不断发展,企业将采取周密措施来识别和抵御这种威胁。 因此,让开发人员做好充分准备成为解决方案的一部分至关重要。
为何只有具备安全经验的开发者才应使用代理式人工智能工具
Agentic的人工智能编码工具被视为人工智能辅助编码的下一代发展,有助于提升软件开发过程中的效率、生产力和灵活性。其增强的上下文与意图理解能力使其尤为实用,但仍无法完全抵御快速注入、幻觉或攻击者行为操控等威胁。
开发人员是区分优质代码提交与劣质代码提交的防线,在未来的软件安全开发中,保持安全技能和批判性思维的最新状态将具有根本性意义。
人工智能成果绝不应被盲目信任地实施,唯有具备安全经验的开发者运用情境化批判性思维,才能安全地利用这项技术带来的生产力提升。 然而,这必须是一种配对编程环境,其中人类专家能够评估、质疑并最终批准工具所完成的工作。
了解更多关于开发者如何通过人工智能提升技能并提高生产力的信息,请点击此处。
损害控制的实用技术及更多信息详见我们最新的研究论文
KI编码工具和MCP技术将成为网络安全未来的重要因素,但关键在于我们必须先探明水深,再下水。
纳拉贾拉与哈布勒的论文阐述了企业级实施MCP的全面风险降低策略,以及持续管理相关风险的方案。 其核心在于深度防御与零信任原则,这些原则明确针对企业环境中新型生态系统带来的独特风险特征。对于开发人员而言,尤其需要弥补以下领域的知识缺口:
- 身份验证与访问控制:代理式人工智能工具通过解决问题并自主决策来实现预设目标,其运作方式类似于人类处理技术任务的方式。 然而我们注意到,专业人员对这些流程的监督不可或缺。在工作流程中使用此类工具的开发者必须清晰了解自身权限范围——包括可访问的数据、可能调用的数据、数据获取途径以及潜在的数据共享场景。
- 通用威胁检测与防御:与大多数人工智能流程类似,用户必须精通该任务本身,才能识别工具输出中的潜在错误和不准确之处。开发人员需接受持续培训并对其能力进行考核,方能有效审核安全流程,并以安全精度和权威性验证人工智能生成的代码。
- 安全政策与人工智能治理的协调:应引导开发者关注经认证的工具,并为其提供进修机会及获取途径。在将提交内容认定为可信之前,开发者与工具均需接受安全基准测试。
我们近期发布了一份研究报告,探讨了氛围编码与人工智能辅助编码的兴起,以及企业为培养新一代人工智能辅助软件工程师所需采取的措施。立即阅读报告,并联系我们以增强您的开发团队实力。
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
人工智能辅助开发(或更时髦的说法"氛围编码")对代码生成产生了巨大而颠覆性的影响。资深开发者正大规模采用这些工具,而那些一直渴望开发自有软件却缺乏经验的人,也借助它们开发出原本耗时耗资的资源。 尽管这项技术有望开启创新新时代,但也带来了诸多新型安全漏洞与风险态势,令安全负责人难以有效抵御。
InvariantLabs最近发现Model ContextProtocol(MCP)存在关键安全漏洞。该协议作为类似API的框架,使高性能AI工具能够自主与其他软件及数据库交互。 该漏洞催生了名为"工具中毒攻击"的新型威胁类别,可能对企业造成严重破坏。Windsurf和Cursor等大型AI工具同样存在风险,面对数百万用户群体,提升安全意识并掌握应对能力已成为当务之急。
从目前情况来看,这些工具的性能尚未达到企业级应用所需的安全标准,正如AWS与Intuit的安全研究员VineethSaiNarajala和IdanHabler在最新研究中指出:随着人工智能系统日益自主化,并通过MCP等接口直接与外部工具及实时数据交互,确保这些交互过程的安全性已成为绝对必要之举。"
具有能动性的人工智能系统与模型上下文协议的风险特征
模型上下文协议是由Anthropic构建的一款实用软件,它能够实现大型语言模型(LLM)人工智能代理与其他工具之间更优质、更无缝的集成。 这为专有应用程序与关键业务SaaS工具(如GitHub)与尖端AI解决方案的交互开辟了广阔前景。只需编写一个MCP服务器,即可着手制定其运作方式与功能目的的指导方针。
MCP技术对安全领域的影响确实以积极为主。它承诺简化大型语言模型与安全专家技术栈之间的集成,这种前景令人难以抗拒。该技术实现了安全任务的精准自动化,其精度水平此前难以企及——至少在不编写和部署定制代码(通常每项任务都需要)的情况下无法实现。 MCP赋予LLM的增强互操作性为企业安全开辟了令人振奋的前景——数据、工具与人员间的深度透明与互联,正是构建高效安全防御体系与规划的核心基石。
然而,若管理不当,MCP的使用可能带来其他潜在威胁途径,并显著扩大企业的攻击面。正如Invariante实验室所指出的,工具中毒攻击构成了一类新型漏洞,可能导致敏感数据外泄及人工智能模型执行非法操作。由此引发的安全后果将迅速变得极其严峻。
InvariantLabs指出,当恶意指令被嵌入MCP工具描述中时,可能发生工具中毒攻击——这些指令对用户不可见,但AI模型可完全读取(并执行)。这将诱使工具在用户不知情的情况下执行未经授权的恶意操作。 问题的症结在于MCP默认信任所有工具描述——这恰恰是威胁行为者梦寐以求的漏洞。
他们指出工具遭到破坏可能导致以下后果:
- 指示KI模型访问机密文件(如SSH密钥、配置文件、数据库等);
- 指示人工智能提取并传输这些数据,且在这种恶意行为本质上被隐藏在毫无察觉的用户视线之外的环境中;
- 通过在工具界面和输出结果的用户界面呈现中隐藏真实机制,将用户所见内容与AI模型的实际操作行为进行分离。
这是一种令人担忧的新型漏洞类别,随着MCP使用不可避免的持续增长,我们几乎可以肯定会更频繁地看到此类漏洞。随着企业安全计划的不断发展,企业将采取周密措施来识别和抵御这种威胁。 因此,让开发人员做好充分准备成为解决方案的一部分至关重要。
为何只有具备安全经验的开发者才应使用代理式人工智能工具
Agentic的人工智能编码工具被视为人工智能辅助编码的下一代发展,有助于提升软件开发过程中的效率、生产力和灵活性。其增强的上下文与意图理解能力使其尤为实用,但仍无法完全抵御快速注入、幻觉或攻击者行为操控等威胁。
开发人员是区分优质代码提交与劣质代码提交的防线,在未来的软件安全开发中,保持安全技能和批判性思维的最新状态将具有根本性意义。
人工智能成果绝不应被盲目信任地实施,唯有具备安全经验的开发者运用情境化批判性思维,才能安全地利用这项技术带来的生产力提升。 然而,这必须是一种配对编程环境,其中人类专家能够评估、质疑并最终批准工具所完成的工作。
了解更多关于开发者如何通过人工智能提升技能并提高生产力的信息,请点击此处。
损害控制的实用技术及更多信息详见我们最新的研究论文
KI编码工具和MCP技术将成为网络安全未来的重要因素,但关键在于我们必须先探明水深,再下水。
纳拉贾拉与哈布勒的论文阐述了企业级实施MCP的全面风险降低策略,以及持续管理相关风险的方案。 其核心在于深度防御与零信任原则,这些原则明确针对企业环境中新型生态系统带来的独特风险特征。对于开发人员而言,尤其需要弥补以下领域的知识缺口:
- 身份验证与访问控制:代理式人工智能工具通过解决问题并自主决策来实现预设目标,其运作方式类似于人类处理技术任务的方式。 然而我们注意到,专业人员对这些流程的监督不可或缺。在工作流程中使用此类工具的开发者必须清晰了解自身权限范围——包括可访问的数据、可能调用的数据、数据获取途径以及潜在的数据共享场景。
- 通用威胁检测与防御:与大多数人工智能流程类似,用户必须精通该任务本身,才能识别工具输出中的潜在错误和不准确之处。开发人员需接受持续培训并对其能力进行考核,方能有效审核安全流程,并以安全精度和权威性验证人工智能生成的代码。
- 安全政策与人工智能治理的协调:应引导开发者关注经认证的工具,并为其提供进修机会及获取途径。在将提交内容认定为可信之前,开发者与工具均需接受安全基准测试。
我们近期发布了一份研究报告,探讨了氛围编码与人工智能辅助编码的兴起,以及企业为培养新一代人工智能辅助软件工程师所需采取的措施。立即阅读报告,并联系我们以增强您的开发团队实力。
人工智能辅助开发(或更时髦的说法"氛围编码")对代码生成产生了巨大而颠覆性的影响。资深开发者正大规模采用这些工具,而那些一直渴望开发自有软件却缺乏经验的人,也借助它们开发出原本耗时耗资的资源。 尽管这项技术有望开启创新新时代,但也带来了诸多新型安全漏洞与风险态势,令安全负责人难以有效抵御。
InvariantLabs最近发现Model ContextProtocol(MCP)存在关键安全漏洞。该协议作为类似API的框架,使高性能AI工具能够自主与其他软件及数据库交互。 该漏洞催生了名为"工具中毒攻击"的新型威胁类别,可能对企业造成严重破坏。Windsurf和Cursor等大型AI工具同样存在风险,面对数百万用户群体,提升安全意识并掌握应对能力已成为当务之急。
从目前情况来看,这些工具的性能尚未达到企业级应用所需的安全标准,正如AWS与Intuit的安全研究员VineethSaiNarajala和IdanHabler在最新研究中指出:随着人工智能系统日益自主化,并通过MCP等接口直接与外部工具及实时数据交互,确保这些交互过程的安全性已成为绝对必要之举。"
具有能动性的人工智能系统与模型上下文协议的风险特征
模型上下文协议是由Anthropic构建的一款实用软件,它能够实现大型语言模型(LLM)人工智能代理与其他工具之间更优质、更无缝的集成。 这为专有应用程序与关键业务SaaS工具(如GitHub)与尖端AI解决方案的交互开辟了广阔前景。只需编写一个MCP服务器,即可着手制定其运作方式与功能目的的指导方针。
MCP技术对安全领域的影响确实以积极为主。它承诺简化大型语言模型与安全专家技术栈之间的集成,这种前景令人难以抗拒。该技术实现了安全任务的精准自动化,其精度水平此前难以企及——至少在不编写和部署定制代码(通常每项任务都需要)的情况下无法实现。 MCP赋予LLM的增强互操作性为企业安全开辟了令人振奋的前景——数据、工具与人员间的深度透明与互联,正是构建高效安全防御体系与规划的核心基石。
然而,若管理不当,MCP的使用可能带来其他潜在威胁途径,并显著扩大企业的攻击面。正如Invariante实验室所指出的,工具中毒攻击构成了一类新型漏洞,可能导致敏感数据外泄及人工智能模型执行非法操作。由此引发的安全后果将迅速变得极其严峻。
InvariantLabs指出,当恶意指令被嵌入MCP工具描述中时,可能发生工具中毒攻击——这些指令对用户不可见,但AI模型可完全读取(并执行)。这将诱使工具在用户不知情的情况下执行未经授权的恶意操作。 问题的症结在于MCP默认信任所有工具描述——这恰恰是威胁行为者梦寐以求的漏洞。
他们指出工具遭到破坏可能导致以下后果:
- 指示KI模型访问机密文件(如SSH密钥、配置文件、数据库等);
- 指示人工智能提取并传输这些数据,且在这种恶意行为本质上被隐藏在毫无察觉的用户视线之外的环境中;
- 通过在工具界面和输出结果的用户界面呈现中隐藏真实机制,将用户所见内容与AI模型的实际操作行为进行分离。
这是一种令人担忧的新型漏洞类别,随着MCP使用不可避免的持续增长,我们几乎可以肯定会更频繁地看到此类漏洞。随着企业安全计划的不断发展,企业将采取周密措施来识别和抵御这种威胁。 因此,让开发人员做好充分准备成为解决方案的一部分至关重要。
为何只有具备安全经验的开发者才应使用代理式人工智能工具
Agentic的人工智能编码工具被视为人工智能辅助编码的下一代发展,有助于提升软件开发过程中的效率、生产力和灵活性。其增强的上下文与意图理解能力使其尤为实用,但仍无法完全抵御快速注入、幻觉或攻击者行为操控等威胁。
开发人员是区分优质代码提交与劣质代码提交的防线,在未来的软件安全开发中,保持安全技能和批判性思维的最新状态将具有根本性意义。
人工智能成果绝不应被盲目信任地实施,唯有具备安全经验的开发者运用情境化批判性思维,才能安全地利用这项技术带来的生产力提升。 然而,这必须是一种配对编程环境,其中人类专家能够评估、质疑并最终批准工具所完成的工作。
了解更多关于开发者如何通过人工智能提升技能并提高生产力的信息,请点击此处。
损害控制的实用技术及更多信息详见我们最新的研究论文
KI编码工具和MCP技术将成为网络安全未来的重要因素,但关键在于我们必须先探明水深,再下水。
纳拉贾拉与哈布勒的论文阐述了企业级实施MCP的全面风险降低策略,以及持续管理相关风险的方案。 其核心在于深度防御与零信任原则,这些原则明确针对企业环境中新型生态系统带来的独特风险特征。对于开发人员而言,尤其需要弥补以下领域的知识缺口:
- 身份验证与访问控制:代理式人工智能工具通过解决问题并自主决策来实现预设目标,其运作方式类似于人类处理技术任务的方式。 然而我们注意到,专业人员对这些流程的监督不可或缺。在工作流程中使用此类工具的开发者必须清晰了解自身权限范围——包括可访问的数据、可能调用的数据、数据获取途径以及潜在的数据共享场景。
- 通用威胁检测与防御:与大多数人工智能流程类似,用户必须精通该任务本身,才能识别工具输出中的潜在错误和不准确之处。开发人员需接受持续培训并对其能力进行考核,方能有效审核安全流程,并以安全精度和权威性验证人工智能生成的代码。
- 安全政策与人工智能治理的协调:应引导开发者关注经认证的工具,并为其提供进修机会及获取途径。在将提交内容认定为可信之前,开发者与工具均需接受安全基准测试。
我们近期发布了一份研究报告,探讨了氛围编码与人工智能辅助编码的兴起,以及企业为培养新一代人工智能辅助软件工程师所需采取的措施。立即阅读报告,并联系我们以增强您的开发团队实力。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
人工智能辅助开发(或更时髦的说法"氛围编码")对代码生成产生了巨大而颠覆性的影响。资深开发者正大规模采用这些工具,而那些一直渴望开发自有软件却缺乏经验的人,也借助它们开发出原本耗时耗资的资源。 尽管这项技术有望开启创新新时代,但也带来了诸多新型安全漏洞与风险态势,令安全负责人难以有效抵御。
InvariantLabs最近发现Model ContextProtocol(MCP)存在关键安全漏洞。该协议作为类似API的框架,使高性能AI工具能够自主与其他软件及数据库交互。 该漏洞催生了名为"工具中毒攻击"的新型威胁类别,可能对企业造成严重破坏。Windsurf和Cursor等大型AI工具同样存在风险,面对数百万用户群体,提升安全意识并掌握应对能力已成为当务之急。
从目前情况来看,这些工具的性能尚未达到企业级应用所需的安全标准,正如AWS与Intuit的安全研究员VineethSaiNarajala和IdanHabler在最新研究中指出:随着人工智能系统日益自主化,并通过MCP等接口直接与外部工具及实时数据交互,确保这些交互过程的安全性已成为绝对必要之举。"
具有能动性的人工智能系统与模型上下文协议的风险特征
模型上下文协议是由Anthropic构建的一款实用软件,它能够实现大型语言模型(LLM)人工智能代理与其他工具之间更优质、更无缝的集成。 这为专有应用程序与关键业务SaaS工具(如GitHub)与尖端AI解决方案的交互开辟了广阔前景。只需编写一个MCP服务器,即可着手制定其运作方式与功能目的的指导方针。
MCP技术对安全领域的影响确实以积极为主。它承诺简化大型语言模型与安全专家技术栈之间的集成,这种前景令人难以抗拒。该技术实现了安全任务的精准自动化,其精度水平此前难以企及——至少在不编写和部署定制代码(通常每项任务都需要)的情况下无法实现。 MCP赋予LLM的增强互操作性为企业安全开辟了令人振奋的前景——数据、工具与人员间的深度透明与互联,正是构建高效安全防御体系与规划的核心基石。
然而,若管理不当,MCP的使用可能带来其他潜在威胁途径,并显著扩大企业的攻击面。正如Invariante实验室所指出的,工具中毒攻击构成了一类新型漏洞,可能导致敏感数据外泄及人工智能模型执行非法操作。由此引发的安全后果将迅速变得极其严峻。
InvariantLabs指出,当恶意指令被嵌入MCP工具描述中时,可能发生工具中毒攻击——这些指令对用户不可见,但AI模型可完全读取(并执行)。这将诱使工具在用户不知情的情况下执行未经授权的恶意操作。 问题的症结在于MCP默认信任所有工具描述——这恰恰是威胁行为者梦寐以求的漏洞。
他们指出工具遭到破坏可能导致以下后果:
- 指示KI模型访问机密文件(如SSH密钥、配置文件、数据库等);
- 指示人工智能提取并传输这些数据,且在这种恶意行为本质上被隐藏在毫无察觉的用户视线之外的环境中;
- 通过在工具界面和输出结果的用户界面呈现中隐藏真实机制,将用户所见内容与AI模型的实际操作行为进行分离。
这是一种令人担忧的新型漏洞类别,随着MCP使用不可避免的持续增长,我们几乎可以肯定会更频繁地看到此类漏洞。随着企业安全计划的不断发展,企业将采取周密措施来识别和抵御这种威胁。 因此,让开发人员做好充分准备成为解决方案的一部分至关重要。
为何只有具备安全经验的开发者才应使用代理式人工智能工具
Agentic的人工智能编码工具被视为人工智能辅助编码的下一代发展,有助于提升软件开发过程中的效率、生产力和灵活性。其增强的上下文与意图理解能力使其尤为实用,但仍无法完全抵御快速注入、幻觉或攻击者行为操控等威胁。
开发人员是区分优质代码提交与劣质代码提交的防线,在未来的软件安全开发中,保持安全技能和批判性思维的最新状态将具有根本性意义。
人工智能成果绝不应被盲目信任地实施,唯有具备安全经验的开发者运用情境化批判性思维,才能安全地利用这项技术带来的生产力提升。 然而,这必须是一种配对编程环境,其中人类专家能够评估、质疑并最终批准工具所完成的工作。
了解更多关于开发者如何通过人工智能提升技能并提高生产力的信息,请点击此处。
损害控制的实用技术及更多信息详见我们最新的研究论文
KI编码工具和MCP技术将成为网络安全未来的重要因素,但关键在于我们必须先探明水深,再下水。
纳拉贾拉与哈布勒的论文阐述了企业级实施MCP的全面风险降低策略,以及持续管理相关风险的方案。 其核心在于深度防御与零信任原则,这些原则明确针对企业环境中新型生态系统带来的独特风险特征。对于开发人员而言,尤其需要弥补以下领域的知识缺口:
- 身份验证与访问控制:代理式人工智能工具通过解决问题并自主决策来实现预设目标,其运作方式类似于人类处理技术任务的方式。 然而我们注意到,专业人员对这些流程的监督不可或缺。在工作流程中使用此类工具的开发者必须清晰了解自身权限范围——包括可访问的数据、可能调用的数据、数据获取途径以及潜在的数据共享场景。
- 通用威胁检测与防御:与大多数人工智能流程类似,用户必须精通该任务本身,才能识别工具输出中的潜在错误和不准确之处。开发人员需接受持续培训并对其能力进行考核,方能有效审核安全流程,并以安全精度和权威性验证人工智能生成的代码。
- 安全政策与人工智能治理的协调:应引导开发者关注经认证的工具,并为其提供进修机会及获取途径。在将提交内容认定为可信之前,开发者与工具均需接受安全基准测试。
我们近期发布了一份研究报告,探讨了氛围编码与人工智能辅助编码的兴起,以及企业为培养新一代人工智能辅助软件工程师所需采取的措施。立即阅读报告,并联系我们以增强您的开发团队实力。
入门资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
