AI 寫程式速度太快，資安審查淪為瓶頸：九成企業主管擔憂漏洞風險

隨著 AI 程式碼輔助工具在開發團隊中迅速普及，企業面臨資安防護機制跟不上開發速度的嚴峻挑戰。根據資安公司 Salt Security 的最新調查顯示，有 90% 的資安主管對 AI 生成軟體所帶來的風險感到不安，但為了加速開發任務、減少重複性工作並提升軟體交付速度，企業仍無法停止採用這些工具。

人工審查難以跟上 AI 產出速度

資安主管普遍認為，在 AI 主流化之前建立的開發流程，已不足以提供足夠的監管。調查指出，近三分之一（29%）的受訪者將「不安全的程式碼模式」視為 AI 輔助工具帶來的首要風險。由於 AI 模型是從包含缺陷與過時做法的海量數據集進行訓練，這些工具產出的程式碼表面上運作正常，卻可能悄悄複製了人類開發者本可察覺的漏洞。

目前，超過三分之一的組織在軟體發布前，仍依賴人工審查來把關。然而，這種方法在 AI 大規模產出程式碼的環境下已顯得力不從心。Salt Security 執行長兼共同創辦人 Roey Eliyahu 指出：

AI 程式碼輔助工具從根本上改變了軟體的構建方式，但治理機制卻未能跟上。大多數組織意識到了風險，但仍試圖使用為前 AI 時代設計的資安流程來管理 AI 生成的程式碼。

這種方式如同試圖用單一電子信箱處理每日數百萬封郵件，缺乏自動化過濾機制，導致審查人員疲勞、標準執行不一致，且各部門對資安要求的解讀也大相徑庭。

企業規模化治理的困境

對於員工數超過 500 人的大型組織而言，治理挑戰更為複雜。這些企業的團隊分布廣泛，使用不同的工具與工作流程，導致資安標準在不同地區的執行力參差不齊。隨著團隊規模擴大與交付壓力增加，開發者對 AI 輔助工具的過度依賴風險也隨之升高。

包括政府資安機構在內的多個單位此前已發出警告，指出 AI 系統顯著擴大了攻擊面並使責任歸屬結構變得複雜。若無法更清晰地掌握 AI 生成程式碼進入開發管線的位置，現行的治理模式將流於形式。專家建議，將 AI 輔助工具視為軟體供應鏈的組成部分，如同審查第三方軟體風險一般進行嚴格篩選，才是比單純依賴人工審查更務實的解決路徑。