怎样应对人工智能时代的软件安全问题？

随着5G通信技术的加速普及，在我们的日常工作、学习和生活的各种场景里，移动终端的数量越来越多，随着AR/VR技术的发展，未来新型的终端设备也会越来越多地进入我们的工作和生活场景中。

在这些智能终端构建的庞大通信生态中，安全和隐私会是一个关键的问题。据OPPO和益普索共同调研的一个报告《2021年中国智能手机用户安全隐私洞察报告》显示，98%的首发那个人都关注隐私安全问题，80%的人是既关注隐私安全问题且做出防护动作，只有2%的受访人声称他们不怎么关注安全隐私问题。

可以看出，大部分用户对于安全隐私问题还是较为关注的。目前各个国家和地区的监管机构也对如手机等智能移动终端在隐私安全问题方面都出台了相关法律，以保护用户的隐私和数据安全。

但目前这些移动终端的应用安全（AppSec）还面临着诸多现状问题，一是AppSec的投资回报率低，即使投入了高昂的工具、人员和维护成本，仍无法充分保障软件安全；二是软件风险判断的准确率低；三是安全活动速度低，即为了保障安全而拖慢了产品交付的速度，无法保持业务的连续性；四是难以有效管理AppSec策略；五是难以优先考虑关键工作。

针对上述‘三低两难’的问题，新思科技的软件风险管理平台（Software Risk Manager，SRM）应用安全态势管理（ASPM）解决方案就能很好应对。据新思科技中国区应用安全技术总监付红勋介绍，新思科技的SRM具有三化两快的优势，即管理简化、风险状态可视化、工作流程标准化、快速确定风险优先级以及快速同步业界最佳AST能力。

SRM结合了智能策略驱动的编排和漏洞管理功能与新思科技软件质量与安全部门广受市场认可的静态应用安全测试(SAST)和软件组成分析(SCA)引擎，并为其它开源和商业AST工具提供广泛支持。它也能帮助安全和开发团队简化、协调及优化其应用安全测试，而且可以跨项目、跨团队和应用安全测试(AST)工具实现。

但随着人工智能等技术的发展，又为移动终端的软件安全问题增添了新的挑战。人工智能技术对于软件安全来说是一把‘双刃剑’，一方面工程师可以将人工智能技术应用于软件安全的预防和防御等步骤，另一方面它也可以帮助获取隐私数据。例如英伟达开发了一个名为「NeMoFramework」的系统，允许开发人员使用各种大型语言模型，根据客户需求，再进行开发使用。但有研究人员发现，他们可以轻松突破这款AI系统为确保安全使用而设立的防护栏。

另一方面，自chatGPT出现以来，人工智能（AI）技术迅速发展，在各个领域的应用也越来越多，尤其在软件代码生成方面的应用越来越广泛，可能会让未来的程序员饭碗不保。这一方面提高了软件开发的效率，但同时也为软件安全埋下了隐患。

付红勋表示：“使用AI写代码会是一个未来的发展趋势，但它对软件安全也会有不小的影响。”他认为主要有三个方面，一是大模型，即如果采用大模型进行代码的编写，首先要对其进行训练，给它‘喂’代码，在这个训练过程中，很多‘喂’的代码很可能是开源的，这些开源代码片段会混杂在AIGC生成的代码中，这就会存在安全和合规风险。

据新思科技2020年发布的《开源安全性和风险分析报告》显示，在经过审核的1,253个应用中，有99％包含开源代码，而这些代码库中有75％包含漏洞。显然，这显示了开源代码的优势以及缺乏开源代码漏洞管理。

付红勋表示：“针对这一问题，新思科技的工具Black Duck® 软件组件分析(SCA)就可以很好帮助解决这一问题。Black Duck是一种全面的SCA解决方案，用于管理在应用程序和容器中使用开源的安全性、许可证合规性和代码质量风险。”

第二个是代码的安全问题。付红勋表示：“只要有代码就有质量问题和安全风险。”用AI生成的代码其实就是用代码编写代码，这样可能会减少一些基础性的质量或安全问题，但不会解决所有的安全或质量问题，这也为安全检测工具提出了新的挑战，付红勋认为未来需要在更深层次的代码上有更好的积累，并进行检测工具化。

针对这样的问题和挑战，新思科技也有应对之法，即其Coverity SAST，付红勋表示：“不只是一个代码的检测出基础的编码质量和安全问题，它还会更深层次地发现代码中的安全风险。”

第三个还是回到大模型，付红勋表示：“大模型具有的通用性也让它失去了专用性。”每个企业的软件都有各自的业务流，具有一定的独特性，由此可能业界可能更需要关注AI生成的代码中的业务逻辑漏洞或问题，包括API层面的。

针对这一问题，新思科技的Seeker——一款IAST（交互式应用安全测试）工具就能很好应对。这款工具有助于识别企业特有的API层面的漏洞。

OPPO终端安全领域总经理王安宇则认为人工智能大模型是一个突飞猛进的技术演进，它可能会带来诸多的有利之处。他表示：“OPPO还是非常支持和鼓励使用AIGC和大模型去探索编写代码的可行性。”

他认为，一方面AIGC可以帮助大大提升代码的质量、效率，甚至是工程师的变成能力。另一方面，各个公司对于产品的质量、流程和发布都有一定的要求，为了更好满足这些要求，就需要通过自动化和智能化来提高效率和质量，节省时间，AIGC就能帮助完善整个流程，然后生成可靠、可信赖的软件产品。

不管未来的技术如何发展，软件安全问题还将如影随形，因为不会存在完美的软件产品，即使未来人工智能技术发展到很高的水平，也总会存在缺陷。但发现问题，解决问题才能不断推动技术和产品往前发展。