随着ChatGPT等大型语言模型（LLM）的兴起，开发者正将这些工具实际应用于代码编写和理解场景。编程语言虽然结构严谨，但AI辅助编码仍存在多重风险，这正是我们撰写本技术白皮书的核心动因。

主要使用场景

开发者主要通过三种方式使用这些工具：

1. 代码补全：自动完成函数或代码行
2. 代码解释：解析现有代码逻辑
3. 文档生成：自动创建技术文档

其中代码补全功能的风险最为显著，工具可能直接输出包含漏洞的代码片段。

核心风险分析

1. 安全输出无保障
   研究证实（包括本文案例），这些工具会生成存在安全缺陷的代码。必须引入额外检测流程确保漏洞代码不会进入生产环境。

2. 一致性与可靠性问题
   工具的输出质量受历史代码质量影响。即使模型本身具备安全输出能力，低质量的上下文代码仍会导致漏洞输出。

3. 数据泄露风险
   GitHub Copilot等SaaS服务会收集IDE中的按键记录，包括：

   • 原始代码
   • 注释内容
   • 项目元数据
     这些数据可能被第三方存储分析，如图所示：

扩展建议

本文仅列举部分风险，更详细的分析和缓解策略请下载完整版白皮书《Addressing Risks from AI Coding Assistants》。尽管研究主要针对GitHub Copilot和ChatGPT，但所述风险具有普适性，适用于各类AI编程辅助工具。

特别警示：未来将有更多面向开发者的AI编程工具涌现，安全团队需要建立系统化的应对机制。