AI生成代码占比显著但审查不足
根据云原生软件制品管理平台Cloudsmith发布的《2025年制品管理报告》,42%采用AI辅助工作流的开发者表示,当前代码库中至少50%内容由AI生成。然而其中仅67%会在每次部署前审查这些代码——尽管针对AI的"垃圾包劫持"(slopsquatting)等新型攻击正在涌现(黑客利用编码助手生成的虚构包名进行攻击)。
风险监管存在明显缺口
数据显示:
- 20%开发者"完全信任"AI生成代码
- 59%会对AI生成的软件包额外审查
- 仅34%使用针对AI制品的策略执行工具
- 17%承认完全没有相关控制措施
Cloudsmith CEO Glenn Weinstein警告:“开发团队正以更快的速度交付更多AI生成的代码和AI代理主导的更新。虽然AI工具大幅提升了生产力,但随着人工审查减少,必须通过自动化控制确保软件供应链安全。”
开源依赖风险加剧
报告还发现:
- 86%开发者发现过去一年AI影响的依赖包使用量增加(40%认为增幅显著)
- 仅29%对检测开源库漏洞"非常有信心"(而AI工具常从中获取建议)
Weinstein强调:“控制软件供应链是安全的第一步,自动化检查和精选制品库能帮助开发者在早期发现隐患。“该报告同时探讨了开发者评估开源包可信度的标准、AI加速构建管道的领域,以及安全优先场景下工具升级停滞的原因。