/
Gitar获900万美元融资,用AI智能体解决代码质量难题
随着"氛围编程"兴起,AI生成代码的爆炸式增长让企业陷入"代码过载"困境。初创公司Gitar由英特尔实验室、谷歌及Uber资深人士Ali-Reza Adl-Tabatabai创立,近日完成900万美元融资,由Venrock领投。Gitar平台通过部署AI智能体,执行代码审查、持续集成工作流管理等多种质量保障操作,并支持工程团队自建智能体。其核心理念是"用生成AI的工具来验证AI生成的代码",目标是让代码交付更快、更可信。
Claude Code代码泄露暴露类似电子宠物功能和常驻智能体
Anthropic发布Claude Code 2.1.88更新后,用户发现其包含超过51.2万行源代码。泄露的TypeScript代码库揭示了多项未发布功能,包括类似电子宠物的功能,可在输入框旁显示并对编程行为做出反应,以及名为"KAIROS"的常驻后台智能体功能。代码中还包含Anthropic对AI机器人的内部指令和"记忆"架构设计。尽管该公司已修复问题,但代码已被用户复制到GitHub并获得超过5万次分叉。Anthropic表示这是人为错误导致的发布打包问题,并非安全漏洞。
使用 AI 编写代码并不意味着代码更加安全
随着AI编程工具使用增加,代码漏洞也在增长。佐治亚理工研究人员追踪AI生成代码的CVE漏洞,发现从去年8月的2个增至今年3月的35个。截至目前统计显示,Claude Code贡献49个CVE(11个严重级别),GitHub Copilot 15个。研究表明约48%的AI生成代码存在安全缺陷,仅30%通过安全验证。专家指出,随着开发者越来越依赖AI工具进行端到端编程,安全风险正在上升。
AI在发现隐藏软件漏洞方面表现惊人,甚至能检测数十年前的代码
微软Azure CTO使用Anthropic的Claude Opus 4.6分析了1986年为Apple II处理器编写的汇编代码,AI不仅解释了代码,还进行了安全审计,发现了隐藏数十年的逻辑错误。研究显示LLM在发现漏洞方面已能媲美行业标准静态分析工具。但专家担忧,AI既能帮助修复漏洞,也可能被恶意利用攻击无法打补丁的遗留系统。
Anthropic推出Claude Code Security用于AI驱动的漏洞扫描
人工智能公司Anthropic发布Claude Code Security功能,可扫描用户软件代码库中的安全漏洞并建议修补方案。该功能目前向企业和团队客户提供限量研究预览版。该工具超越传统静态分析,能像人类安全研究员一样理解代码库,追踪数据流并标记基于规则的工具可能遗漏的漏洞。系统采用多阶段验证流程筛选误报,为每个漏洞分配严重性等级,最终结果在仪表板中显示供团队审查和批准。
Apiiro Guardian智能体守护AI代码安全生成
Apiiro于1月28日发布Guardian Agent AI代理工具,现处于私有预览阶段。该工具通过将开发者提示重写为安全提示,防止编码代理生成存在漏洞或不合规的代码。Guardian Agent直接在开发者的IDE和CLI工具中实时运行,采用预防性模式替代传统的事后检测修复方式。据Apiiro称,企业采用AI编码代理后代码生成量增加四倍,应用攻击面扩大六倍,该工具能在代码生成前阻止风险。
大重构计划欲用AI加固关键代码防护内存安全漏洞
美国进步研究所发起"大重构"计划,旨在利用AI工具将C/C++编写的开源软件自动转换为安全语言Rust。内存安全漏洞占软件漏洞的70%,Rust语言可有效防止此类问题。该计划提议成立专门研究机构,投资1亿美元在2030年前转换1亿行关键开源代码。虽然AI代码生成能力快速提升,但专家认为仍需人工监督确保代码质量和可维护性。
研究发现:新版大语言模型虽基准测试分数更高,但代码漏洞更严重
SonarSource研究发现,尽管最新大语言模型在编程基准测试中表现更佳,但同时引入了更多严重漏洞和安全风险。研究测试了Claude、GPT-4o、Llama等模型的4400多个Java编程任务,发现所有模型都存在系统性安全意识缺陷。其中Llama 3.2 90B有超过70%的漏洞被评为最高危险等级,Claude Sonnet 4虽功能测试得分最高,但严重漏洞比例比前代增加93%。研究建议对AI生成代码采用"信任但验证"方法。
AI 代码风险真实存在 - 企业如何有效管理这些风险
随着AI代码生成工具的广泛应用,企业面临着新的挑战。AI生成的代码可能存在安全漏洞、架构问题和合规风险。为此,企业需要实施严格的验证流程,认识AI在复杂代码库中的局限性,理解AI代码的特有问题,要求开发人员对代码负责,并建立高效的AI工具审批机制。同时,专门的代码分析工具也变得不可或缺。
奇安信代码安全实验室五人入选“2020微软MSRC最具价值安全研究者”榜单
今天,微软安全响应中心 (MSRC) 发布2019-2020年度“最具价值安全研究者”榜单,奇安信代码安全实验室的五名研究员入选。
京公网安备 11010802021500号
