你可能听说过“vibe coding”,很可能自己也试过一两次,利用Claude或其他AI工具创建一个简单的网站或交互式游戏。OpenAI联合创始人Andrej Karpathy在2025年2月的一条推文中创造了这个词。简单来说,“vibe coding”就是告诉AI程序你想要完成什么,然后让AI生成代码。它利用用户提供的自然语言来生成软件。
“vibe coding”是软件开发真正革命性的民主化工具。它让任何有台电脑、有点想象力的人都能搞出软件来,至少在表面上看起来,能按你的要求行事。
问题就出在这儿。公司里的任何人都可能在公司的网络安全边界内塞进软件,而无需了解软件的工作原理,以及除了你巧妙的提示之外,它可能被设计用来做什么。
如果员工编出来的代码正好是从经过审查的公开来源通过算法生成的,那你运气不错。但AI生成代码的根本危险恰恰在于,你不知道它来自哪里,来源是什么,以及它们是如何组合的。来源是顶尖大学的博士生、地下室里的黑客,还是国家资助的网络恐怖分子?或者全都占了?
你在用的AI程序根本不知道也不在乎——它忠诚地执行着自己的使命,快得惊人还完全没察觉,只是一味地匹配模式。
打开灾难之门
你刚刚没学过一行代码就搞出来的那个神奇程序,可能藏着世界级的间谍软件、病毒或恶意软件,能窃取(也就是提取)公司的机密数据,或者所谓的SQL注入,它们能对你的数据库造成严重破坏。从坏人的角度看,最妙的是他们根本不需要后门:那个乐呵呵却毫不知情的员工,一导入这段神秘代码,直接把前门给敞开了。
等等,还有呢。
你的员工用他的新AI同事一起神奇地搞出来的那种随性代码,也可能违反版权或专利法。你觉得一个普通非技术员工发现这个问题的概率有多大?这个概率基本为零。AI生成的知识产权责任可能会彻底改变你公司打官司的局面。
当你用大语言模型(LLM)生成代码时,就像人类自己写的代码一样,它会有错误。但与人类生成的代码不同,没有一个员工能完全搞懂它是怎么拼出来的。包括它的结构靠不靠谱、逻辑通不通顺,以及哪里有漏洞。但解决这个问题,在如今这个AI狂热、'管它呢,冲就完了'的心态下,根本不是头等大事。
那公司领导能做点什么来应对这种风险、避免出大乱子呢?第一步是认清危险。不妨试试下面这几步。
这是高管层的事,就得这么办。
AI安全主要不是IT的事,而是全公司的战略问题,得高层亲自管。你看,AI涉及财务、HR、法务、销售、市场、设计、工程……技术层面只是入门。AI安全得当成企业级问题来对待,不能像网络安全那样,按老规矩丢给IT就行。
把安全融入流程。
别等出了事再反应。说到AI风险,老一套——定个政策让员工签个字——已经不顶用了。风险监控和修复得是技术流程的一部分,不能是独立的一堆静态政策,指望别人遵守,最后却在哪个虚拟文件夹里吃灰。现在有新的软件,能在这些风险变成危机之前就标记、评估、量化、搞定。建议早点用上,别拖,保证安全能跟上AI部署的步伐。
让供应商负起责任。
要求你的供应商讲清楚:AI是怎么集成到他们应用里的,有啥风险,怎么在应用里实时评估和应对(以秒或分钟计,不是按季度拖)。这很快成了新要求,早就不只是填个安全问卷就完事了。
咨询专家
现在有个新行业冒出来了,目的是填补一个缺口:一方面,各个层级的组织都在疯狂用AI;另一方面,这些AI带来的未知风险也随之快速涌现,却没啥应对方案。所以,找专家问问还是很有必要的。
AI能让不会技术的员工自己写代码,这真的挺革命性的。但历史也告诉我们,革命嘛,有好几种走法。关键在于,得看清楚并处理好这些新能力里自带的新风险。光凭感觉走不了多远。
本文最初发表于 fastcompany.com
热门跟贴