AI正在重写全球代码,谁来守卫软件世界的新安全?

admin
admin
admin
0
文章
0
评论
2026-03-05 19:20:25 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档探讨了AI生成代码时代面临的安全挑战与验证瓶颈,指出随着AI生成代码比例激增,传统人工审查已无法跟上速度,导致代码过剩但验证能力滞后。文章提出利用形式化验证和定理证明工具作为核心解决方案,并警示AI编程工具可能成为供应链攻击新入口。结论强调软件工程角色需从写代码转向架构设计与验证,以应对新的安全边境。 综合评分: 85 文章分类: AI安全,安全开发,供应链安全,漏洞预警

cover_image

AI正在重写全球代码,谁来守卫软件世界的新安全?

原创

骨哥说事 骨哥说事

骨哥说事

2026年3月5日 14:38 上海

当人工智能每天生成数十亿行代码,人类工程师却越来越习惯直接点击“Accept Suggestion”,软件世界正在发生一场深刻变化。

但问题也随之而来:当AI成为软件的主要作者,谁来验证这些代码的安全与正确性?

这正是微软研究员、Lean证明系统作者 Leonardo de Moura 在文章中提出的核心问题。

一、AI写代码的速度,已经远超人类验证能力

过去几十年,软件安全依赖三道传统防线:

  • 代码审查(Code Review)
  • 自动化测试(Testing)
  • 人工检查(Manual Inspection)

但这些方法本身并不完美。

例如著名漏洞 Heartbleed 在被发现前就存在了 两年时间,而且代码早已被多次审查。

现在的问题是:

AI正在以指数级速度生成代码,而人类验证代码的能力却几乎没有变化。

研究者指出:

  • 在一些科技公司25%–30%的代码已经由AI生成
  • 未来十年这一比例可能接近95% ([daily.dev][1])

换句话说:

软件正在进入“代码过剩(Code Abundance)时代”。

二、代码生成不再是瓶颈,验证才是

在传统软件工程中:

  • 写代码是成本最高的环节
  • 验证只是辅助步骤

但在AI时代,这个逻辑被彻底颠倒。

新的瓶颈变成:

如何验证AI生成的软件是否正确、安全。

原因很简单:

AI生成代码的速度,可能比人类快 1000倍。 ([Leonardo de Moura][2])

如果验证仍然依赖人工:

工程体系将完全失衡。

三、解决方案:形式化验证(Formal Verification)

作者提出的关键方向是:

数学级别的软件验证。

也就是:

用数学证明来保证程序一定正确。

典型工具包括:

  • 定理证明系统(Theorem Prover)
  • 自动证明工具
  • 形式化方法(Formal Methods)

例如:

  • Lean
  • Z3
  • 形式化验证系统

一个例子是:

研究人员已经利用AI将 zlib压缩库自动形式化,并证明其算法正确。

这意味着:

未来软件开发可能会变成:

AI写代码
↓
AI生成数学证明
↓
验证器自动检查
↓
软件发布

四、AI写代码带来的安全隐患已经出现

现实世界已经开始出现相关问题。

安全研究人员发现:

AI编程工具 Claude Code 曾存在多个漏洞,可导致:

  • 远程代码执行(RCE)
  • API密钥泄露 ([The Hacker News][3])

攻击方式甚至非常简单:

攻击者只需:

  1. 构造一个恶意项目仓库
  2. 开发者克隆并用AI工具打开
  3. AI自动执行恶意配置文件

最终导致:

  • 执行攻击者代码
  • 泄露敏感数据

这些漏洞已经被修复,但它揭示了一个新的攻击面:

AI开发工具正在成为新的软件供应链攻击入口。 ([TechRadar][4])

五、软件工程的角色正在改变

在AI时代,软件工程师的角色可能发生转变:

过去:

人类写代码
机器运行

未来:

人类描述需求
AI生成代码
AI证明正确性
人类负责架构与验证

研究人员认为:

未来的软件工程核心将不再是“写代码”,而是:

  • 架构设计
  • 系统验证
  • 自动化证明

六、软件世界的“新边境”

AI正在重塑整个软件生态:

| 过去 | 未来 | | — | — | | 代码稀缺 | 代码过剩 | | 人类写代码 | AI写代码 | | 人工审查 | 自动验证 | | 测试保证质量 | 数学证明保证正确 |

问题是:

我们还没有准备好验证AI写出的世界。

如果生成能力继续爆炸,而验证体系跟不上,未来的软件系统可能会变得:

  • 更复杂
  • 更难审计
  • 更容易隐藏漏洞

软件世界的“新边境”,已经出现。

而真正需要解决的问题不是:

AI能不能写代码

而是:

AI写出的代码,谁来保证它是安全的。

原文:

https://leodemoura.github.io/blog/2026/02/28/when-ai-writes-the-worlds-software.html

  • END –

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:骨哥说事 骨哥说事 骨哥说事《AI正在重写全球代码,谁来守卫软件世界的新安全?》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0