人工智能生成的代码中常见的安全漏洞

人工智能编码助手虽然功能强大，但如果引导不当，也会在不经意间引入安全问题。 它们会从大量的公共代码中学习，其中既有好的做法，也有坏的做法，如果没有提示或上下文的引导，它们可能会重复不安全的模式。了解这些常见陷阱对您来说至关重要，这样您才能发现并解决它们。这包括使用手动和自动方式来检测潜在的安全问题（见图 8-1）。

图 8-1. 人工智能引入的安全漏洞：人工智能生成的代码可能包含微妙的安全漏洞，需要仔细审查和自动安全扫描来识别和修复。

在人工智能生成的代码中观察到的一些典型安全问题包括

硬编码秘密或凭证

有时，，人工智能会在代码中输出API 密钥、密码或令牌，尤其是在其训练数据中有类似示例的情况下。例如，如果您要求它与 AWS 集成，它可能会直接在代码中放入一个假的 AWS 密钥。如果这样做是很危险的，如果代码被共享，可能会泄露敏感信息。请务必确保通过环境变量或配置文件对密钥进行妥善管理。如果人工智能建议使用api_key = "ABC123SECRET" 这样的密钥，请将其视为一个标志--真正的密钥不应出现在源代码中。

SQL 注入漏洞

如果您让人工智能模型生成 SQL 查询或 ORM 使用，请检查它是否通过直接连接用户输入来构造查询。例如，一个不安全的模式是

sql = "SELECT * FROM users WHERE name = '" + username + "'";

这很容易受到注入攻击。如果你没有明确告诉人工智能对查询进行参数化，人工智能可能会产生这样的结果。一定要使用准备语句或参数绑定。如果想起最佳实践（如在 SQL 中使用? 或用户输入的占位符），许多人工智能助手都会这样做，但这并不能保证。您需要进行验证，并在必要时要求人工智能进行修正：

Modify this query to use parameters to prevent SQL ...