深度解析
AI加速漏洞发现却拖慢修复:Monash大学的安全困境与突围
Monash大学应用安全负责人指出,AI在加速漏洞发现的同时,修复速度滞后,供应链攻击激增,开发者正面临“认知卸载”风险。
当AI加速漏洞发现,修复却陷入“昨日思维”
应用安全团队正面临一个愈发尖锐的矛盾:AI工具使漏洞发现速度达到了历史峰值,但修复效率却未能同步提升。Monash大学应用安全负责人Luke Bampton在近日接受采访时直言:“从来没有这么快发现漏洞,但修复的滞后性依然存在。”这一观察揭示了AI时代应用安全的深层结构性问题。
Monash大学如今拥有超过9.8万名学生和2万名员工,管理着50万个IP地址。作为一所全球性高等教育与研究机构,其支持超过40个开发团队,成员从资深工程师到本科生不等。Bampton的策略并非强制统一工具,而是确保一致的安全产出。然而,AI的快速渗透正在打破原有平衡。
Bampton指出,当前的工作方式仍停留在“前AI时代”,它们并非为“昨天就必须修复生产问题”而设计。AI作为数字产品的“力量倍增器”已全面展开,但安全环节仍在追赶。他特别提到Anthropic的Mythos等近期进展,显示生成式AI正向上游深入应用安全领域。在他看来,可信任的AI驱动修复将是下一步,但“现在还处于AI加速交付、安全滞后追赶的阶段”。
供应链威胁与“认知卸载”风险
除了发现-修复时间差,Bampton还强调了两个新的风险维度:软件供应链攻击和开发者的“认知卸载”。
“供应链攻击已经爆表,开发者凭证面临重大威胁。”他提醒,在AI时代,依赖第三方库的漏洞扫描机制仍不可或缺。然而,更隐蔽的危机在于,当开发者过度依赖AI代码生成工具时,其自身的安全技能可能逐步退化。这种“认知卸载”效应已在多个研究中被证实,Bampton将其列为教育优先事项。
Monash大学为此将教育作为安全战略的核心维度。Bampton认为,安全人员需要主动与开发者建立沟通渠道,“如果你不知道我是谁,或者觉得我不容易接近,我就无法真正帮到你”。他把安全问题的解决看作一场“营销与意识挑战”,而非纯技术难题。
超级计算机来临:安全团队的AI新战场
随着Monash大学部署MAVERIC AI超级计算机以及一批专用AI开发机,安全团队的工作重心也在向AI和非确定性工作方式转移。Bampton表示,作为应用安全从业者,他正越来越多地关注如何引导开发者负责任地使用这项技术。
“我们最终想要的是安全的代码、功能正常的代码,以及能够扩展的稳健解决方案。”他指出,尽管技术栈在变化,应用安全的基本原则——人际沟通与协作——依然有效。在AI工具日益自动化的世界里,人与人之间的信任和联系正成为最关键的“安全补丁”。
长期趋势:AI安全需要新的组织逻辑
Monash的案例并非孤例。从全球视角看,AI在安全领域的应用正从“辅助发现”向“自主修复”演进,但组织流程和文化往往滞后。企业需要重新审视漏洞管理生命周期:当AI能在几分钟内发现一个漏洞时,修复流程不应再以周、月为单位运作。
更深层的挑战在于,AI本身也可能成为攻击面。随着开发者依赖AI生成代码,供应链中的“影子依赖”呈指数级增长。安全团队必须发展出对AI生成代码进行审计的新能力,同时避免技术债的雪崩。
Bampton对未来持乐观态度,但他强调基础工作不可偏废。在AI浪潮中,Monash大学正试图通过“人际连接+持续教育+可控计算”的组合模式,为高等教育领域的安全治理提供范本。这一探索或许预示着后AI时代应用安全的普遍演进方向:技术越自动化,人的角色反而越关键。
来源边界 · thedailytech
thedailytech 将这段说明放在「科技新闻 / AI 与创新 / 大型科技公司」的站点语境中。读者复用摘要前应先打开来源链接: 日期、名称和状态变化仍需重新核对。「科技新闻 / AI 与创新 / 大型科技公司」解释了本文的本地编辑角度。