初级开发者过度依赖 AI 的风险

当ChatGPT等工具出现故障时，软件开发人员离开工位、临时休息或沮丧地靠在椅背上的场景并不罕见。对许多技术从业者而言，AI辅助编码工具已成为日常便利。即便是像2025年3月24日那样的短暂中断，也可能导致开发工作停滞。

"该泡杯咖啡晒15分钟太阳了，"一位Reddit用户写道。"同感，"另一人回复道。

包括网络安全从业者在内的技术专业人员对ChatGPT等生成式AI工具的依赖正持续增长。这些工具正在改变开发者编写代码、解决问题、学习和思考的方式——通常能提升短期效率。但这种转变伴随着代价：开发者可能弱化自身的编码和批判性思维能力，最终对个人及其所在组织产生长期影响。

"我们注意到初级从业者（尤其是刚进入网络安全领域的人员）普遍缺乏对系统层面的深入理解，"Tuskira联合创始人兼CISO/CPO Om Moolchandani表示，"许多人能生成功能性代码片段，却难以解释其底层逻辑或针对真实攻击场景进行加固。"

微软近期调查印证了Moolchandani的观察：依赖AI完成部分工作的员工往往较少深入质疑、分析和评估自己的工作成果，特别是当他们相信AI能提供准确结果时。"使用生成式AI工具时，批判性思维的投入从信息收集转向信息验证，从问题解决转向AI响应整合，从任务执行转向任务监管，"报告指出。

短期收益与长期风险

部分CISO对AI代码生成器（尤其是初级开发者群体中）日益增长的依赖性表示担忧，另一些则持观望态度，认为这可能是未来问题而非当前威胁。Endor Labs首席信息安全官Karl Mattson指出，多数大型企业的AI应用仍处早期阶段，实验收益仍大于风险。

"我尚未看到明确证据表明AI依赖导致基础编码技能普遍退化，"他表示，"当前我们处于创造性乐观阶段，通过原型设计获取AI应用的早期成功。核心基础能力的衰退似乎还很遥远。"

但已有专家观察到过度依赖AI编写代码的影响。耶鲁隐私实验室创始人兼PrivacySave首席执行官Sean O'Brien对此表示强烈担忧：重度依赖ChatGPT或低代码平台的开发者"往往形成'氛围编码'心态，更关注功能实现而非理解工作原理"。

Cynet首席技术官Aviad Hasnis特别关注初级从业者"严重依赖AI生成代码却未充分理解其底层逻辑"的现象。他认为这种过度依赖对个人和组织构成多重挑战："网络安全工作需要超越AI建议的批判性思维、故障排除能力和风险评估能力。"

DH2i联合创始人兼CTO Oj Ngo警告，虽然AI代码生成器能提供快速解决方案和短期收益，但长期依赖可能适得其反："当AI系统不可用或不足时，开发者可能难以适应，最终影响其作为创新者和技术专家的效能。"

合规盲区与法律风险

随着生成式AI深度融入软件开发和安全工作流，网络安全领导者对其可能引入的盲区表示担忧。

"AI能生成看似安全的代码，但缺乏对组织威胁模型、合规需求和对抗风险环境的上下文认知，"Moolchandani强调。

他列举两大问题：AI生成的安全代码可能无法抵御不断演变的攻击技术；可能无法反映组织的特定安全态势和需求。此外，AI生成代码可能造成安全假象，因为开发者（特别是经验不足者）常默认其安全性。

更存在违反许可条款或监管标准的合规风险。"许多AI工具（特别是基于开源代码库生成代码的工具）可能无意间引入未经审查、许可不当甚至恶意的代码，"O'Brien指出。开源许可通常对署名、再分发和修改有特定要求，依赖AI生成代码可能导致意外违规。

"这在网络安全工具开发中尤为危险，遵守开源许可不仅是法律义务，更影响安全态势，"O'Brien补充道，"意外违反知识产权法或引发法律责任的风险巨大。"

Digital.ai首席技术官Wing To从技术角度指出，AI生成代码不应被视为万能方案："AI生成代码的关键挑战在于人们误以为其质量优于人工编写代码。实际上可能包含训练数据中埋藏的漏洞、错误、受保护IP等质量问题。"

人才评估范式转变

既然生成式AI将长期存在，CISO及其组织必须重视其影响。新常态下，需要建立护栏机制以促进批判性思维、深化代码理解并强化各编码团队的问责制。

Moolchandani建议企业重新评估招聘过程中的技术技能考核方式："代码测试可能不再足够——需要更关注安全推理、架构设计和对抗思维。"DH2i在招聘中通过评估候选人对AI的依赖程度，衡量其独立思考和工作的能力。

纽约大学全球CIO Don Welch持相似观点：在新范式中取得成功的人将保持好奇心、提出问题并努力理解周围世界。"要雇佣那些重视成长和学习的人，"他表示。

部分网络安全领导者担忧，过度依赖AI可能加剧行业本已存在的人才短缺危机。对中小型组织而言，寻找并培养技术人才将愈发困难。"如果下一代安全专业人员主要接受AI使用培训而非批判性思考安全挑战，行业可能难以培养推动创新和韧性的资深领导者，"Hasnis警告道。

AI不应取代编程知识

Moolchandani指出，使用AI工具编写代码却未建立深厚技术基础的早期从业者面临发展停滞的高风险："中长期看，这可能限制其向需要威胁建模、可利用性分析和安全工程专业知识的高级安全角色发展。企业很可能会区分用AI增强技能和依赖AI弥补基础缺陷的员工。"

专家建议组织加强培训并调整知识传递方式："在职培训应更注重实践，聚焦真实漏洞、利用技术和安全编码原则，"Moolchandani强调。Mattson补充道，持续技能提升的文化能适应任何技术变革。

Hasnis认为培训应帮助员工理解AI的优势与局限："通过AI驱动效率与人工监督相结合，企业既能利用AI优势，又能确保安全团队保持专注、专业和弹性。"他建议开发者始终质疑AI输出，特别是在安全敏感环境中。

O'Brien主张AI应与人类专业知识相辅相成："企业需建立将AI视为工具的文化——它能辅助但无法取代对编程及传统软件开发部署的深入理解。"

"企业绝不能陷入用AI掩盖专业知识不足的陷阱。"