2026 年所有新代码中有 41% 是 AI 生成的。Gartner 预测这将推动到 2028 年软件缺陷增加 2,500%。而本月,Anthropic 演示了其最新模型能够自主发现并利用严重软件漏洞——随后暂缓公开发布。行业已从"AI 能帮助写代码"转向"AI 能快速发现、验证并利用跨大规模代码库的缺陷。" 这一转变背后的数字要求企业安全和 AI 代码审查采用新方法。
大多数 AI 安全报道聚焦于生成风险。本分析聚焦于审查缺口——以及企业在缺陷浪潮到来之前必须做出的架构变更。
2026 年有多少代码是 AI 生成的?
以下是现状:
- 84% 的开发者使用 AI 编码工具;51% 每天使用
- 90% 的企业软件工程师将在 2028 年前使用 AI 代码助手(Gartner,从 75% 上调)
这一采用率正在产生可衡量的下游后果:
- Gartner 预测 prompt-to-app 方法到 2028 年将增加软件缺陷 2,500%
- 到 2028 年50% 的企业网络安全事件响应将聚焦于 AI 驱动的应用事件
- AI 代理到 2027 年将将利用账户暴露的时间缩短 50%
这些不是理论风险。它们是 AI 生成代码扩展速度快于代码保证的预测后果。
AI 驱动的漏洞发现:真实结果
防御能力是真实的,并在每个主要 AI 供应商中加速。
Anthropic:Claude 和 Project Glasswing
Anthropic 报告 Claude Opus 4.6 在经过充分测试的开源代码库中发现超过 500 个高危漏洞,包括数十年来未被发现的 bug。在另一项与 Mozilla 的合作中,Claude 在两周内发现 22 个 Firefox 漏洞,14 个被评为高危。通过 Project Glasswing,Anthropic 承诺向开源安全组织提供高达 1 亿美元的使用积分和 400 万美元捐赠。
Google:Big Sleep 和 Project Zero
Google 的 Big Sleep 代理——Project Zero 与 DeepMind 之间的合作——在开源软件中发现 20 个安全漏洞。其中之一,SQLite 中的 CVE-2025-6965,是一个威胁行为者此前已知但其他人不知道的关键内存损坏缺陷。Google 声称这是 AI 代理首次直接挫败活跃利用企图。Big Sleep 还在 FFmpeg 中发现 13 个漏洞,尽管披露过程与维护者产生摩擦,后者称部分报告为"CVE 垃圾"——突显了 AI 规模发现与上游维护能力之间的张力。
OpenAI 和 GitHub:Codex Security 和 Copilot Autofix
OpenAI 的 Codex Security 在 beta 期间扫描超过 120 万次提交,发现 792 个关键和 10,561 个高危发现,并帮助向包括 OpenSSH、GnuTLS、PHP 和 Chromium 在内的项目报告漏洞,分配了 14 个 CVE。GitHub 的 Copilot Autofix 在 2025 年解决 460,258 条安全告警,将平均修复时间从 1.29 小时缩短至 0.66 小时——快了近 2 倍。
| 工具 | 范围 | 关键发现 |
|---|---|---|
| Anthropic Claude Opus 4.6 | 开源代码库 | 500+ 高危漏洞 |
| Mozilla + Claude | Firefox | 2 周内 22 个漏洞,14 个高危 |
| Google Big Sleep | 开源(SQLite、FFmpeg) | 20 个漏洞,包括活跃利用 |
| OpenAI Codex Security | 扫描 120 万次提交 | 792 关键,10,561 高危发现 |
| GitHub Copilot Autofix | GitHub 仓库 | 2025 年解决 460,258 条安全告警 |
英国国家网络安全中心得出类似结论:AI"几乎肯定"会使网络入侵要素更有效,增加网络威胁的频率和强度,并在跟上步伐的组织与未能跟上步伐的组织之间制造数字鸿沟。
AI 生成代码漏洞:数据
等式的另一半不那么令人舒服。
Georgetown University 安全与新兴技术中心发现五个测试模型产生的代码片段中近一半包含"通常有影响且可能导致恶意利用"的 bug。GitHub Copilot 上的"Asleep at the Keyboard"研究发现,跨 89 个高危 CWE 场景的 1,689 个生成程序中有 40% 存在漏洞。来自 Stanford 和 DryRun Security 的更新数据表明 87% 的 Copilot 拉取请求引入漏洞,AI 生成代码的漏洞密度比人工编写代码高 2.7 倍。
供应链维度使情况更糟。USENIX Security 关于包幻觉的论文发现,代码生成 LLM 推荐不存在的包的比率为商业模型 5.2%、开源模型 21.7%,跨 576,000 个生成样本。攻击者可通过以这些虚影名称发布恶意包来利用重复幻觉。
还有具体财务成本。IBM 2025 年数据泄露成本报告将美国平均泄露成本定为创纪录的 1022 万美元。影子 AI——开发工作流中的未授权 AI 工具——每次泄露平均增加 67 万美元和 10 个额外天数的检测和遏制时间。97% 经历 AI 相关安全事件的组织缺乏适当的 AI 访问控制,63% 根本没有正式的 AI 治理政策。
早期捕获 bug 的 ROI
当 41% 代码是 AI 生成时,左移安全经济学被放大。IBM 系统科学研究所发现,发布后发现的 bug 修复成本高达设计阶段发现的 100 倍。在安全计划中广泛使用 AI 和自动化的组织每次泄露已节省 190 万美元并将泄露生命周期缩短 80 天(据 IBM 2025 年报告)。AI 用于审查的经济案例与 AI 用于生成的风险案例一样强。
针对 AI 管道的软件供应链攻击
这不是理论风险。正在发生。
2026 年 3 月,LiteLLM 供应链攻击攻陷了每天下载 340 万次的 PyPI 包。攻击者部署了三阶段有效载荷:针对 50+ 类密钥的凭据收割器、Kubernetes 横向移动工具包和持久后门。入口点是此前对 Trivy 漏洞扫描器——一个安全工具本身——的攻陷。
同样在 2026 年 3 月,TeamPCP 强制推送 75 个恶意版本标签到 Trivy GitHub Action,向数千个仓库的 CI/CD 管道注入窃取凭据的有效载荷。安全扫描器——旨在检测漏洞的工具——被武器化针对 AI 供应链。
IBM X-Force 报告自 2020 年以来大型供应链攻陷增加近 4 倍。ReversingLabs 2026 年报告显示开源平台恶意软件上升 73%,攻击专门针对 AI 开发管道。供应链攻击从 2024 年初每月 13 起上升到 2025 年 10 月每月 41 起。2025 年,两次重大 npm 生态系统攻击使用 AI 生成代码从 526+ 个包中窃取凭据。
OpenAI 自己 2026 年 4 月的 Axios 事件表明 AI 供应商自身仍暴露:恶意 Axios 版本被 OpenAI macOS 签名过程中使用的 GitHub Actions 工作流下载并执行。根本原因是工作流配置错误——浮动标签而非特定提交哈希。
模式是递归的:AI 生成包含漏洞的代码,旨在捕获这些漏洞的安全工具本身被攻陷,唯一跟上步伐的方法是在防御侧以同等强度部署 AI。这不是人类规模审查单独能解决的问题。
AI 开发工具作为攻击面:OWASP LLM Top 10
一旦 AI 嵌入 IDE、代码审查机器人、CI 工作流和浏览器代理,问题就超越了"模型是否写出有 bug 的代码?“扩展到"我们向环境添加了哪些新失败模式?”
GitHub 自己对 VS Code 代理模式的安全研究表明,间接提示注入可在无需用户明确同意的情况下暴露 GitHub 令牌、机密文件或启用任意代码执行。OpenAI 的代理安全指南称提示注入"常见且危险"。Microsoft 的零信任指南称组织应假设间接提示注入不可避免并设计遏制。
OWASP LLM 应用 Top 10 2025 将这些风险编纂成文。十个类别中有七个从 2023 年版本发生变化,新增条目包括:
- 过度代理——LLM 对工具和行动控制过多
- 系统提示泄露——隐藏系统指令的暴露
- 向量和嵌入弱点——利用 RAG 和向量数据库
- 无界消耗——资源耗尽和成本攻击
供应链上升至第三位。敏感信息泄露升至第二位。提示注入仍居首位。
MITRE ATLAS——AI 系统的对抗威胁框架——作为回应快速扩展。5.4.0 版(2026 年 2 月)包含 84 种技术、56 种子技术和 42 个真实案例研究,新增技术包括"发布中毒 AI 代理工具"和"逃逸到主机"。2026 年 1 月,ATLAS 添加了涵盖 MCP 服务器攻陷和通过 MCP 通道间接提示注入的案例研究。AI 驱动的对手攻击同比激增 89%。
构建企业 AI 代码审查管道
AI 驱动代码审查的案例不是说编码助手不好。而是代码生成的输出扩展速度快于人类审查扩展保证。Anthropic 表示"不久的将来,世界上相当大一部分代码将由 AI 扫描。“OpenAI 将 Codex Security 定位为应用安全代理,构建系统上下文、创建威胁模型、验证发现并提出补丁。
NIST SP 800-218A 使义务明确:审查标准不区分人工编写和 AI 生成代码,因为所有源代码在使用前都应评估漏洞。CISA 延伸同一原则:“软件必须在设计上安全,人工智能也不例外。”
企业团队的实用近期架构:
- 人工审查 AI 生成——开发者仍在架构决策中参与
- 自动 SAST 和 CodeQL 扫描——在提交时捕获已知漏洞模式
- 依赖审查和密钥扫描——在合并前阻止供应链风险和凭据泄露
- AI 驱动漏洞审查——Anthropic 的 Claude Code Security、OpenAI 的 Codex Security 或 GitHub Copilot Autofix 作为强制关卡
- 持续监控——针对静态分析无法捕获的行为的运行时检测
GitHub 的 Copilot 编码代理现在在每个拉取请求上自动运行 CodeQL 分析、依赖审查和密钥扫描——无需 GitHub Advanced Security 许可。Copilot 的 AI 驱动密钥检测在测试中实现 94% 的误报减少。
需要帮助设计 AI 安全开发管道?联系 Big Hat Group进行架构审查。
使用 Azure Virtual Desktop 和 Windows 365 的爆炸半径设计
爆炸半径设计是一项安全架构原则,通过隔离敏感工作负载、限制横向移动并最小化攻击者从任何入口点可达的数据和系统,来限制任何单一入侵造成的损害。
如果入侵概率上升——而每个数据源都表明如此——那么爆炸半径减少就变得与预防同样重要。
Microsoft 的 Azure Virtual Desktop 和 Windows 365 云电脑平台为管理员提供真正控制损害的能力:仅应用交付,呈现单个应用而非完整桌面;Azure 防火墙锁定出站流量;条件访问用于 MFA 和策略强制;可在单方向或双方向禁用的剪贴板和驱动器重定向;以及 Windows 应用控制以限制在托管环境中运行的代码。
针对敏感或传统应用的可防御模式:尽可能仅应用交付、严格限定的网络出口、无不必要的本地重定向、强身份控制和应用允许列表。现代 VDI 和云电脑平台使这种遏制架构比旧的"一切在本地工作站上"模型更容易运营化。(这是 Big Hat Group 为在 Windows 365 云电脑上运行敏感应用的客户部署的架构模式。)
Big Hat Group 使用这些确切遏制模式部署 Windows 365 云电脑和 Azure Virtual Desktop 环境。如果您的组织运行敏感或传统应用,联系我们讨论您环境的爆炸半径架构。
Microsoft Secure Future Initiative:企业影响
这不是副业项目。Microsoft 的 Secure Future Initiative 代表相当于 35,000 名全职工程师致力于安全——数字历史上最大的网络安全工程工作。成果包括99.5% 的代码中活跃密钥检测和修复、99.6% 抗钓鱼 MFA 强制执行、Microsoft 参考架构中新的零信任 for AI支柱,以及 Microsoft 365 中专门的AI 管理员角色。
Microsoft 发布了实用的"模式和实践"指南以便其他组织采用 SFI 原则,95% 的 Microsoft 员工完成了防范 AI 驱动网络攻击的培训。对于构建 AI 治理计划的企业,SFI 框架提供了经过验证的起点。
企业 AI 安全清单:2026 年 6 项行动
底线明确:Mythos 是头条,但真正的战略变化是漏洞发现的工业化以及重新设计管道和工作站以实现遏制的需要。
1. 审计您的 AI 工具清单
影子 AI 每次泄露增加 67 万美元,97% 的 AI 相关泄露缺乏适当访问控制。了解您环境中运行哪些 AI 工具。IBM 发现 63% 的组织没有正式 AI 治理政策。
2. 在合并关卡中添加 AI 驱动安全审查
GitHub Copilot Autofix、Anthropic Claude Code Security 和 OpenAI Codex Security 现在都可用。将安全审查作为强制管道阶段,而非可选事后步骤。提交时捕获的 bug 成本比生产中发现低 100 倍。
3. 加固您的软件供应链
将依赖项固定到特定提交哈希。为新包配置最低发布年龄。在每个拉取请求上运行依赖审查。LiteLLM 和 Trivy 攻击表明即使是安全工具也可能被攻陷。
4. 实施爆炸半径控制
使用 Azure Virtual Desktop 或 Windows 365 对敏感应用进行仅应用交付。限制剪贴板、驱动器重定向和出站网络访问。应用允许列表。
5. 采用 AI 治理框架
NIST AI 600-1、OWASP LLM 应用 Top 10 和 MITRE ATLAS 提供分类法。Microsoft 的 SFI 模式和实践提供 playbook。CISA 的设计安全原则适用于 AI 代码,与人工代码一样。
6. 培训您的团队
Gartner 表示到 2027 年 80% 的工程劳动力需要为生成式 AI 提升技能。安全意识必须是该培训的一部分,而非单独轨道。
AI 驱动开发时代的赢家不是更快生成 AI 代码的团队。而是更快审查 AI 生成代码、更快修补漏洞并通过企业安全控制更好遏制失败的团队。
Big Hat Group 帮助企业在安全的 Azure 和 Windows 365 环境中部署 AI 代理——从治理框架和 AI 安全审查管道到爆炸半径架构。联系我们讨论这些企业 AI 咨询能力如何适合您组织。