当好工具变坏:人工智能工具的毒化及其如何避免成为双面间谍
人工智能辅助开发(或其更现代的版本“振动编码”)正在对代码创建产生巨大而变革性的影响。 资深开发者正大规模采用这些工具,而我们这些一直渴望创建自有软件却缺乏必要经验的人,也借助它们创建了以往因成本和时间限制而难以企及的资产。尽管这项技术有望开启创新新纪元,但也引入了一系列新的漏洞和风险特征,安全领导者正竭力加以缓解。
InvariantLabs最近发现Model ContextProtocol(MCP)存在关键漏洞。该协议作为类似API的框架,使强大的人工智能工具能够自主与其他软件及数据库交互,从而催生了被称为"工具中毒攻击"的新型漏洞类别,此类攻击可能对企业造成特别严重的损害。 包括Windsurf和Cursor在内的主流AI工具均无法幸免。鉴于其数以百万计的用户规模,提升安全意识并掌握应对这一新兴安全威胁的能力至关重要。
目前来看,这些工具的输出结果尚不足以被标记为企业级就绪,正如AWS与Intuit安全研究员Vineeth Sai Narajala和IdanHabler在近期研究中指出的:随着人工智能系统日益自主化,并开始通过MCP等工具直接与外部工具及实时数据交互,确保这些交互的安全性变得至关重要。
代理人工智能系统与协议风险概况模型上下文
模型上下文协议是由Anthropic构建的一款实用软件,它能实现大型语言模型(LLM)的AI代理与其他工具之间更顺畅、更高效的集成。 该方案作为强大的实践案例,为企业专有应用程序与核心SaaS工具(如GitHub)接入前沿AI解决方案开辟了广阔前景。只需编写一个MCP服务器,即可着手制定功能规范与应用目标。
事实上,MCP技术的安全影响大多是积极的。它承诺实现大型语言模型与安全专业人员所用技术之间的更直接集成,这种前景令人难以抗拒。它代表着将安全任务自动化到前所未有的精确程度的可能性——至少在不为每项任务编写和部署定制代码的情况下,这是无法实现的。 MCP赋予LLM的增强互操作性为企业安全带来了令人振奋的前景——毕竟,数据、工具与人员之间强大的可视性与互联性,正是实现高效安全防御与规划的核心要素。
然而,除非谨慎管理,否则使用MCP可能会引入其他潜在威胁载体,并显著扩大企业攻击面。 正如不变实验室所指出的,工具中毒攻击构成了一类新型漏洞,可能导致机密数据外泄,并促使人工智能模型采取未经授权的行动——由此引发的安全隐患将迅速变得极其复杂且难以预料。
InvariantLabs指出,当在MCP工具描述中植入恶意指令时,便可能引发工具中毒攻击——这些指令对用户不可见,但AI模型能够完整读取(并执行)。这会诱使工具在用户不知情的情况下执行未经授权的恶意操作。 问题的症结在于MCP默认信任所有工具描述——这恰恰是攻击者梦寐以求的条件。
指出以下可能导致工具受损的结果:
- 引导人工智能模型访问机密文件(如SSH密钥、配置文件、数据库等);
- 训练人工智能在用户无意识的情况下,从环境中提取并传输这些数据——这些恶意行为本质上对用户而言是隐蔽的;
- 通过将工具的参数和结果以看似简单的用户界面表示隐藏起来,在用户所见与AI模型实际操作之间制造脱节。
这是一种令人担忧的新兴漏洞类别,随着MCP应用不可避免的持续增长,我们几乎可以肯定会更频繁地遭遇此类威胁。随着企业安全计划的演进,需要采取谨慎措施来检测和缓解这一威胁,因此充分准备开发人员使其成为解决方案的一部分至关重要。
为何只有精通安全技术的开发者才应利用机构的人工智能工具
Agentic的人工智能编码工具被视为人工智能辅助编码的下一代进化,能够显著提升软件开发过程中的效率、生产力和灵活性。其增强的上下文理解与意图识别能力使其尤为实用,但仍面临快速注入攻击、幻觉生成或攻击者行为操控等威胁。
开发人员是区分优质代码与劣质代码的防线,保持安全技能和批判性思维能力对未来安全软件开发至关重要。
人工智能的结果绝不应被盲目信任,唯有具备安全专业知识的开发者通过批判性思考和情境分析,才能安全地利用这项技术带来的生产力提升。但这必须建立在类似结对编程的环境中——人类专家能够评估工具产出、建模威胁,并最终批准其工作成果。
了解更多关于开发者如何通过人工智能提升技能、提高生产力的信息,请点击此处。
实用的缓解技术及更多阅读资料详见我们最新的研究文章
人工智能编码工具和MCP技术将成为未来网络安全的重要因素,但关键在于我们必须先试水再下潜。
纳拉贾拉与哈布勒的文章详细阐述了在企业层面实施MCP及持续管理其风险的综合缓解策略。该策略最终聚焦于深度防御与零信任原则,并明确针对新型生态系统为企业环境带来的独特风险特征。对于开发人员而言,弥补以下领域的知识缺口至关重要:
- 身份验证与访问控制:机构的人工智能工具通过解决问题并自主决策来实现既定目标,其运作方式与人类处理工程任务的方式如出一辙。 然而正如我们所阐明,这些流程仍需专业人员监督,使用这些工具的开发人员必须明确自身权限范围、数据获取与潜在暴露情况,以及数据可能共享的渠道。
- 通用威胁检测与缓解:与大多数人工智能流程类似,为识别工具输出结果中的潜在缺陷与不精确性,用户必须自身掌握该任务。开发人员需持续提升技能并接受能力验证,方能有效审查安全流程,并以安全领域的专业权威性精准审核人工智能生成的代码。
- 与安全政策及人工智能治理的对齐:开发者需了解经批准的工具,并获得提升技能及使用这些工具的机会。在确认结果可信之前,开发者和工具都必须接受安全基准测试。
我们近期发布了一项研究,探讨振动编码与人工智能辅助编码的兴起,以及企业为培养新一代人工智能驱动的软件工程师应采取的措施。立即查阅报告并与我们联系,助力您的开发团队实现升级。
首席执行官、主席和联合创始人
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
人工智能辅助开发(或其更现代的版本“振动编码”)正在对代码创建产生巨大而变革性的影响。 资深开发者正大规模采用这些工具,而我们这些一直渴望创建自有软件却缺乏必要经验的人,也借助它们创建了以往因成本和时间限制而难以企及的资产。尽管这项技术有望开启创新新纪元,但也引入了一系列新的漏洞和风险特征,安全领导者正竭力加以缓解。
InvariantLabs最近发现Model ContextProtocol(MCP)存在关键漏洞。该协议作为类似API的框架,使强大的人工智能工具能够自主与其他软件及数据库交互,从而催生了被称为"工具中毒攻击"的新型漏洞类别,此类攻击可能对企业造成特别严重的损害。 包括Windsurf和Cursor在内的主流AI工具均无法幸免。鉴于其数以百万计的用户规模,提升安全意识并掌握应对这一新兴安全威胁的能力至关重要。
目前来看,这些工具的输出结果尚不足以被标记为企业级就绪,正如AWS与Intuit安全研究员Vineeth Sai Narajala和IdanHabler在近期研究中指出的:随着人工智能系统日益自主化,并开始通过MCP等工具直接与外部工具及实时数据交互,确保这些交互的安全性变得至关重要。
代理人工智能系统与协议风险概况模型上下文
模型上下文协议是由Anthropic构建的一款实用软件,它能实现大型语言模型(LLM)的AI代理与其他工具之间更顺畅、更高效的集成。 该方案作为强大的实践案例,为企业专有应用程序与核心SaaS工具(如GitHub)接入前沿AI解决方案开辟了广阔前景。只需编写一个MCP服务器,即可着手制定功能规范与应用目标。
事实上,MCP技术的安全影响大多是积极的。它承诺实现大型语言模型与安全专业人员所用技术之间的更直接集成,这种前景令人难以抗拒。它代表着将安全任务自动化到前所未有的精确程度的可能性——至少在不为每项任务编写和部署定制代码的情况下,这是无法实现的。 MCP赋予LLM的增强互操作性为企业安全带来了令人振奋的前景——毕竟,数据、工具与人员之间强大的可视性与互联性,正是实现高效安全防御与规划的核心要素。
然而,除非谨慎管理,否则使用MCP可能会引入其他潜在威胁载体,并显著扩大企业攻击面。 正如不变实验室所指出的,工具中毒攻击构成了一类新型漏洞,可能导致机密数据外泄,并促使人工智能模型采取未经授权的行动——由此引发的安全隐患将迅速变得极其复杂且难以预料。
InvariantLabs指出,当在MCP工具描述中植入恶意指令时,便可能引发工具中毒攻击——这些指令对用户不可见,但AI模型能够完整读取(并执行)。这会诱使工具在用户不知情的情况下执行未经授权的恶意操作。 问题的症结在于MCP默认信任所有工具描述——这恰恰是攻击者梦寐以求的条件。
指出以下可能导致工具受损的结果:
- 引导人工智能模型访问机密文件(如SSH密钥、配置文件、数据库等);
- 训练人工智能在用户无意识的情况下,从环境中提取并传输这些数据——这些恶意行为本质上对用户而言是隐蔽的;
- 通过将工具的参数和结果以看似简单的用户界面表示隐藏起来,在用户所见与AI模型实际操作之间制造脱节。
这是一种令人担忧的新兴漏洞类别,随着MCP应用不可避免的持续增长,我们几乎可以肯定会更频繁地遭遇此类威胁。随着企业安全计划的演进,需要采取谨慎措施来检测和缓解这一威胁,因此充分准备开发人员使其成为解决方案的一部分至关重要。
为何只有精通安全技术的开发者才应利用机构的人工智能工具
Agentic的人工智能编码工具被视为人工智能辅助编码的下一代进化,能够显著提升软件开发过程中的效率、生产力和灵活性。其增强的上下文理解与意图识别能力使其尤为实用,但仍面临快速注入攻击、幻觉生成或攻击者行为操控等威胁。
开发人员是区分优质代码与劣质代码的防线,保持安全技能和批判性思维能力对未来安全软件开发至关重要。
人工智能的结果绝不应被盲目信任,唯有具备安全专业知识的开发者通过批判性思考和情境分析,才能安全地利用这项技术带来的生产力提升。但这必须建立在类似结对编程的环境中——人类专家能够评估工具产出、建模威胁,并最终批准其工作成果。
了解更多关于开发者如何通过人工智能提升技能、提高生产力的信息,请点击此处。
实用的缓解技术及更多阅读资料详见我们最新的研究文章
人工智能编码工具和MCP技术将成为未来网络安全的重要因素,但关键在于我们必须先试水再下潜。
纳拉贾拉与哈布勒的文章详细阐述了在企业层面实施MCP及持续管理其风险的综合缓解策略。该策略最终聚焦于深度防御与零信任原则,并明确针对新型生态系统为企业环境带来的独特风险特征。对于开发人员而言,弥补以下领域的知识缺口至关重要:
- 身份验证与访问控制:机构的人工智能工具通过解决问题并自主决策来实现既定目标,其运作方式与人类处理工程任务的方式如出一辙。 然而正如我们所阐明,这些流程仍需专业人员监督,使用这些工具的开发人员必须明确自身权限范围、数据获取与潜在暴露情况,以及数据可能共享的渠道。
- 通用威胁检测与缓解:与大多数人工智能流程类似,为识别工具输出结果中的潜在缺陷与不精确性,用户必须自身掌握该任务。开发人员需持续提升技能并接受能力验证,方能有效审查安全流程,并以安全领域的专业权威性精准审核人工智能生成的代码。
- 与安全政策及人工智能治理的对齐:开发者需了解经批准的工具,并获得提升技能及使用这些工具的机会。在确认结果可信之前,开发者和工具都必须接受安全基准测试。
我们近期发布了一项研究,探讨振动编码与人工智能辅助编码的兴起,以及企业为培养新一代人工智能驱动的软件工程师应采取的措施。立即查阅报告并与我们联系,助力您的开发团队实现升级。
人工智能辅助开发(或其更现代的版本“振动编码”)正在对代码创建产生巨大而变革性的影响。 资深开发者正大规模采用这些工具,而我们这些一直渴望创建自有软件却缺乏必要经验的人,也借助它们创建了以往因成本和时间限制而难以企及的资产。尽管这项技术有望开启创新新纪元,但也引入了一系列新的漏洞和风险特征,安全领导者正竭力加以缓解。
InvariantLabs最近发现Model ContextProtocol(MCP)存在关键漏洞。该协议作为类似API的框架,使强大的人工智能工具能够自主与其他软件及数据库交互,从而催生了被称为"工具中毒攻击"的新型漏洞类别,此类攻击可能对企业造成特别严重的损害。 包括Windsurf和Cursor在内的主流AI工具均无法幸免。鉴于其数以百万计的用户规模,提升安全意识并掌握应对这一新兴安全威胁的能力至关重要。
目前来看,这些工具的输出结果尚不足以被标记为企业级就绪,正如AWS与Intuit安全研究员Vineeth Sai Narajala和IdanHabler在近期研究中指出的:随着人工智能系统日益自主化,并开始通过MCP等工具直接与外部工具及实时数据交互,确保这些交互的安全性变得至关重要。
代理人工智能系统与协议风险概况模型上下文
模型上下文协议是由Anthropic构建的一款实用软件,它能实现大型语言模型(LLM)的AI代理与其他工具之间更顺畅、更高效的集成。 该方案作为强大的实践案例,为企业专有应用程序与核心SaaS工具(如GitHub)接入前沿AI解决方案开辟了广阔前景。只需编写一个MCP服务器,即可着手制定功能规范与应用目标。
事实上,MCP技术的安全影响大多是积极的。它承诺实现大型语言模型与安全专业人员所用技术之间的更直接集成,这种前景令人难以抗拒。它代表着将安全任务自动化到前所未有的精确程度的可能性——至少在不为每项任务编写和部署定制代码的情况下,这是无法实现的。 MCP赋予LLM的增强互操作性为企业安全带来了令人振奋的前景——毕竟,数据、工具与人员之间强大的可视性与互联性,正是实现高效安全防御与规划的核心要素。
然而,除非谨慎管理,否则使用MCP可能会引入其他潜在威胁载体,并显著扩大企业攻击面。 正如不变实验室所指出的,工具中毒攻击构成了一类新型漏洞,可能导致机密数据外泄,并促使人工智能模型采取未经授权的行动——由此引发的安全隐患将迅速变得极其复杂且难以预料。
InvariantLabs指出,当在MCP工具描述中植入恶意指令时,便可能引发工具中毒攻击——这些指令对用户不可见,但AI模型能够完整读取(并执行)。这会诱使工具在用户不知情的情况下执行未经授权的恶意操作。 问题的症结在于MCP默认信任所有工具描述——这恰恰是攻击者梦寐以求的条件。
指出以下可能导致工具受损的结果:
- 引导人工智能模型访问机密文件(如SSH密钥、配置文件、数据库等);
- 训练人工智能在用户无意识的情况下,从环境中提取并传输这些数据——这些恶意行为本质上对用户而言是隐蔽的;
- 通过将工具的参数和结果以看似简单的用户界面表示隐藏起来,在用户所见与AI模型实际操作之间制造脱节。
这是一种令人担忧的新兴漏洞类别,随着MCP应用不可避免的持续增长,我们几乎可以肯定会更频繁地遭遇此类威胁。随着企业安全计划的演进,需要采取谨慎措施来检测和缓解这一威胁,因此充分准备开发人员使其成为解决方案的一部分至关重要。
为何只有精通安全技术的开发者才应利用机构的人工智能工具
Agentic的人工智能编码工具被视为人工智能辅助编码的下一代进化,能够显著提升软件开发过程中的效率、生产力和灵活性。其增强的上下文理解与意图识别能力使其尤为实用,但仍面临快速注入攻击、幻觉生成或攻击者行为操控等威胁。
开发人员是区分优质代码与劣质代码的防线,保持安全技能和批判性思维能力对未来安全软件开发至关重要。
人工智能的结果绝不应被盲目信任,唯有具备安全专业知识的开发者通过批判性思考和情境分析,才能安全地利用这项技术带来的生产力提升。但这必须建立在类似结对编程的环境中——人类专家能够评估工具产出、建模威胁,并最终批准其工作成果。
了解更多关于开发者如何通过人工智能提升技能、提高生产力的信息,请点击此处。
实用的缓解技术及更多阅读资料详见我们最新的研究文章
人工智能编码工具和MCP技术将成为未来网络安全的重要因素,但关键在于我们必须先试水再下潜。
纳拉贾拉与哈布勒的文章详细阐述了在企业层面实施MCP及持续管理其风险的综合缓解策略。该策略最终聚焦于深度防御与零信任原则,并明确针对新型生态系统为企业环境带来的独特风险特征。对于开发人员而言,弥补以下领域的知识缺口至关重要:
- 身份验证与访问控制:机构的人工智能工具通过解决问题并自主决策来实现既定目标,其运作方式与人类处理工程任务的方式如出一辙。 然而正如我们所阐明,这些流程仍需专业人员监督,使用这些工具的开发人员必须明确自身权限范围、数据获取与潜在暴露情况,以及数据可能共享的渠道。
- 通用威胁检测与缓解:与大多数人工智能流程类似,为识别工具输出结果中的潜在缺陷与不精确性,用户必须自身掌握该任务。开发人员需持续提升技能并接受能力验证,方能有效审查安全流程,并以安全领域的专业权威性精准审核人工智能生成的代码。
- 与安全政策及人工智能治理的对齐:开发者需了解经批准的工具,并获得提升技能及使用这些工具的机会。在确认结果可信之前,开发者和工具都必须接受安全基准测试。
我们近期发布了一项研究,探讨振动编码与人工智能辅助编码的兴起,以及企业为培养新一代人工智能驱动的软件工程师应采取的措施。立即查阅报告并与我们联系,助力您的开发团队实现升级。
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
人工智能辅助开发(或其更现代的版本“振动编码”)正在对代码创建产生巨大而变革性的影响。 资深开发者正大规模采用这些工具,而我们这些一直渴望创建自有软件却缺乏必要经验的人,也借助它们创建了以往因成本和时间限制而难以企及的资产。尽管这项技术有望开启创新新纪元,但也引入了一系列新的漏洞和风险特征,安全领导者正竭力加以缓解。
InvariantLabs最近发现Model ContextProtocol(MCP)存在关键漏洞。该协议作为类似API的框架,使强大的人工智能工具能够自主与其他软件及数据库交互,从而催生了被称为"工具中毒攻击"的新型漏洞类别,此类攻击可能对企业造成特别严重的损害。 包括Windsurf和Cursor在内的主流AI工具均无法幸免。鉴于其数以百万计的用户规模,提升安全意识并掌握应对这一新兴安全威胁的能力至关重要。
目前来看,这些工具的输出结果尚不足以被标记为企业级就绪,正如AWS与Intuit安全研究员Vineeth Sai Narajala和IdanHabler在近期研究中指出的:随着人工智能系统日益自主化,并开始通过MCP等工具直接与外部工具及实时数据交互,确保这些交互的安全性变得至关重要。
代理人工智能系统与协议风险概况模型上下文
模型上下文协议是由Anthropic构建的一款实用软件,它能实现大型语言模型(LLM)的AI代理与其他工具之间更顺畅、更高效的集成。 该方案作为强大的实践案例,为企业专有应用程序与核心SaaS工具(如GitHub)接入前沿AI解决方案开辟了广阔前景。只需编写一个MCP服务器,即可着手制定功能规范与应用目标。
事实上,MCP技术的安全影响大多是积极的。它承诺实现大型语言模型与安全专业人员所用技术之间的更直接集成,这种前景令人难以抗拒。它代表着将安全任务自动化到前所未有的精确程度的可能性——至少在不为每项任务编写和部署定制代码的情况下,这是无法实现的。 MCP赋予LLM的增强互操作性为企业安全带来了令人振奋的前景——毕竟,数据、工具与人员之间强大的可视性与互联性,正是实现高效安全防御与规划的核心要素。
然而,除非谨慎管理,否则使用MCP可能会引入其他潜在威胁载体,并显著扩大企业攻击面。 正如不变实验室所指出的,工具中毒攻击构成了一类新型漏洞,可能导致机密数据外泄,并促使人工智能模型采取未经授权的行动——由此引发的安全隐患将迅速变得极其复杂且难以预料。
InvariantLabs指出,当在MCP工具描述中植入恶意指令时,便可能引发工具中毒攻击——这些指令对用户不可见,但AI模型能够完整读取(并执行)。这会诱使工具在用户不知情的情况下执行未经授权的恶意操作。 问题的症结在于MCP默认信任所有工具描述——这恰恰是攻击者梦寐以求的条件。
指出以下可能导致工具受损的结果:
- 引导人工智能模型访问机密文件(如SSH密钥、配置文件、数据库等);
- 训练人工智能在用户无意识的情况下,从环境中提取并传输这些数据——这些恶意行为本质上对用户而言是隐蔽的;
- 通过将工具的参数和结果以看似简单的用户界面表示隐藏起来,在用户所见与AI模型实际操作之间制造脱节。
这是一种令人担忧的新兴漏洞类别,随着MCP应用不可避免的持续增长,我们几乎可以肯定会更频繁地遭遇此类威胁。随着企业安全计划的演进,需要采取谨慎措施来检测和缓解这一威胁,因此充分准备开发人员使其成为解决方案的一部分至关重要。
为何只有精通安全技术的开发者才应利用机构的人工智能工具
Agentic的人工智能编码工具被视为人工智能辅助编码的下一代进化,能够显著提升软件开发过程中的效率、生产力和灵活性。其增强的上下文理解与意图识别能力使其尤为实用,但仍面临快速注入攻击、幻觉生成或攻击者行为操控等威胁。
开发人员是区分优质代码与劣质代码的防线,保持安全技能和批判性思维能力对未来安全软件开发至关重要。
人工智能的结果绝不应被盲目信任,唯有具备安全专业知识的开发者通过批判性思考和情境分析,才能安全地利用这项技术带来的生产力提升。但这必须建立在类似结对编程的环境中——人类专家能够评估工具产出、建模威胁,并最终批准其工作成果。
了解更多关于开发者如何通过人工智能提升技能、提高生产力的信息,请点击此处。
实用的缓解技术及更多阅读资料详见我们最新的研究文章
人工智能编码工具和MCP技术将成为未来网络安全的重要因素,但关键在于我们必须先试水再下潜。
纳拉贾拉与哈布勒的文章详细阐述了在企业层面实施MCP及持续管理其风险的综合缓解策略。该策略最终聚焦于深度防御与零信任原则,并明确针对新型生态系统为企业环境带来的独特风险特征。对于开发人员而言,弥补以下领域的知识缺口至关重要:
- 身份验证与访问控制:机构的人工智能工具通过解决问题并自主决策来实现既定目标,其运作方式与人类处理工程任务的方式如出一辙。 然而正如我们所阐明,这些流程仍需专业人员监督,使用这些工具的开发人员必须明确自身权限范围、数据获取与潜在暴露情况,以及数据可能共享的渠道。
- 通用威胁检测与缓解:与大多数人工智能流程类似,为识别工具输出结果中的潜在缺陷与不精确性,用户必须自身掌握该任务。开发人员需持续提升技能并接受能力验证,方能有效审查安全流程,并以安全领域的专业权威性精准审核人工智能生成的代码。
- 与安全政策及人工智能治理的对齐:开发者需了解经批准的工具,并获得提升技能及使用这些工具的机会。在确认结果可信之前,开发者和工具都必须接受安全基准测试。
我们近期发布了一项研究,探讨振动编码与人工智能辅助编码的兴起,以及企业为培养新一代人工智能驱动的软件工程师应采取的措施。立即查阅报告并与我们联系,助力您的开发团队实现升级。
入门资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
