根据GitLab发布的一篇新博客文章,人工智能正在迅速改变软件漏洞的检测方式,但关于谁应该负责管理人工智能所带来的风险,以及这些风险应该如何得到应对的问题,正变得越来越紧迫。虽然诸如静态扫描工具和生成模型这类人工智能工具能够比传统工具更快地识别出潜在的安全问题并提出相应的修复方案,但该文章指出,仅仅依靠检测本身并不能解决风险管理中的所有问题,因此开发人员和安全团队需要重新思考现代软件开发生命周期中的治理机制、责任划分以及执行流程。
这篇文章指出了随着诸如能够发现漏洞并提出补救措施的人工智能工具的出现,整个行业的心态正在发生转变。虽然这些创新体现了人工智能在加速漏洞检测方面的价值,但GitLab的文章强调,仅仅识别出问题并不意味着风险就已经得到了有效控制。企业安全领域的负责人越来越关注这样一个问题:这些漏洞是否真的被及时分类、确定优先级并得到修复,而且这些决策是否由明确的责任方来执行。如果团队缺乏相应的政策指导、风险评估机制以及治理结构,那么仅仅生成更多的检测结果反而可能会造成混乱,因为它们无法帮助人们判断哪些问题必须在软件发布前得到解决,哪些问题可以暂时搁置。
为了解决这些问题,GitLab建议将基于人工智能的检测技术纳入一个更完善的、以政策为导向的DevSecOps框架之中。它提出的最佳实践包括:在组织层面明确风险容忍度;根据漏洞的严重程度、被利用的可能性或合规性要求来设置合并和部署审批流程;在接受风险时确保有可审计的审批流程;以及随着代码、依赖关系以及威胁情报的变化,持续重新评估这些风险。文章强调,在从代码编写到测试、再到最终发布的整个软件生命周期中,实现信息的全面透明至关重要,这样人工智能检测结果才能根据资产的重要性和运行时的风险状况来得到恰当的处理。在这种模式下,人工智能会成为促进安全开发的强大工具,但只有通过平台级的控制措施、审计机制以及可量化的政策执行机制,才能真正将检测结果转化为负责任且基于风险意识的决策。
在整个行业范围内,许多机构都在遵循类似的原则来管理人工智能带来的风险,它们强调检测能力必须与结构化的监管机制及责任体系相结合。美国国家标准与技术研究院通过其被广泛采用的《人工智能风险管理框架》,建议采取以治理、风险识别、风险评估以及持续管理为核心的全生命周期管理方法。关键的做法包括明确各项责任分工、保留审计记录、根据公平性与安全性标准对模型进行验证,以及将人工智能风险纳入更广泛的企业风险管理体系中,而非将其视为一个独立的技术问题。这些建议与GitLab的观点高度一致——只有当人工智能相关措施被融入到可执行的治理流程和部署控制机制中时,它们才能真正发挥作用。
科技公司以及各种行业框架也都秉持这种“治理优先”的理念。例如,微软建立了正式的负责任人工智能治理结构,包括内部审核委员会、针对高风险系统的审批流程,以及对可能存在偏见或不安全输出的持续监控机制。同时,IBM也强调透明度、可解释性及责任感是建立信任的基础。国际标准如ISO/IEC 42001,以及欧盟《人工智能法案》中规定的监管要求,也都倡导进行持续审计、提高对人工智能应用情况的透明度,并制定能够随着模型在实际应用中的发展而不断调整的控制措施。综上所述,一个明确的共识正在形成:有效的人工智能治理机制,其关键不在于检测工具的先进程度,而在于包括监控、人工审核、可量化的风险阈值,以及在整个人工智能生命周期中持续进行的合规性验证在内的各种操作实践。