近日,Veracode发布的《2025 GenAI Code Security Report》显示,当前主流AI代码生成工具写出的代码中,约45%存在安全漏洞,引发业界关注。该报告分析了100多个大型语言模型在80项特定编程任务中的表现,发现全部主流编程语言均遭波及,Java代码的安全性问题尤为严重,漏洞率超过70%。
调查发现,AI代码中的漏洞并非简单错误,许多属于OWASP十大高危类别,如跨站脚本攻击、日志注入等,出现率高达86%和88%。Veracode特别指出,尽管AI代码生成器在功能性上持续进步,但对代码安全的把控并无明显提升。
更值得警惕的是,AI工具正被黑客利用,进一步降低了发现和利用安全漏洞的门槛,使得各类攻击变得更为便捷。为此,Veracode呼吁企业将安全审计嵌入开发流程,推行静态分析、修复自动化、开放源码成分监控以及“包防火墙”等多项措施,以响应日益严峻的安全挑战。
报告还指出,模型规模的扩大并未带来安全能力的提升,这一问题源自AI在安全逻辑上的本质缺陷。专家普遍提醒,AI虽可提升开发效率,但人类开发者对代码安全的审核依然不可或缺。