📖+30 XP
🎧+20 XP
✅+35 XP
等级 B1 – 中级CEFR B1
3 分钟
175 字
研究团队表示,所谓的“vibe coding”正在让大量易被攻击的代码进入开源项目和公司代码库。由乔治亚理工学院系统软件与安全实验室(SSLab)开发的 Vibe Security Radar 扫描了超过43,000份网络安全咨询通告,并识别出与 AI 生成代码相关的常见缺陷。
雷达目前已确认74起案例,其中14起被标为严重,25起为高危。发现的漏洞类型包括命令注入、认证绕过和服务器端请求伪造(SSRF)。雷达通过合著者标签、机器人邮件地址和其他工具签名等元数据来识别可疑案例;如果这些元数据被移除,检测就会变难。
研究生助理赵涵清说,团队正在构建能仅凭代码内容识别 AI 生成代码的模型,且改进验证流程并扩大扫描来源。他们建议对 AI 输出进行像审查新人拉取请求那样的严格复核,并使用专门工具检测漏洞。
难词
- 开源项目 — 任何人可以查看和贡献的软件项目
- 代码库 — 存放和管理程序代码的地方公司代码库
- 漏洞 — 软件或系统中的安全缺陷漏洞类型
- 命令注入 — 通过输入让系统执行恶意命令的攻击
- 认证绕过 — 不通过正常验证就获得访问的行为
- 服务器端请求伪造 — 服务器替攻击者发出恶意请求的漏洞服务器端请求伪造(SSRF)
- 元数据 — 描述或标识其他数据的信息
- 复核 — 再次检查或审核以确认没有错误严格复核
提示:在文章中将鼠标悬停、聚焦或轻触高亮词语,即可在阅读或听音频时快速查看简要释义。
讨论问题
- 如果你是开源项目的维护者,你会怎样检查来自 AI 生成的代码提交?说一说你的两个做法和理由。
- 文中提到去掉元数据会让检测变难。你觉得为什么会这样?举一两个原因。
- 研究团队建议像审查新人拉取请求那样严格复核 AI 输出。你认为这对团队工作会有什么影响?
