研究显示，尽管 AI 编程助手能够减少一些低级语法错误，但它们正在给企业带来更严重的安全隐患，包括不安全的编码模式、敏感信息泄露以及云配置错误。

应用安全公司 Apiiro 的研究表明，AI 编程工具的确降低了语法错误和部分逻辑漏洞的比例，但同时显著增加了 权限提升路径 和 架构性设计缺陷。这些漏洞往往更隐蔽、更难修复，并可能导致严重的安全事件。

研究还发现，AI 生成代码引入了大量风险，从开源依赖到不安全的编码模式，明文暴露的密钥和凭据，错误的云服务配置。

此外，AI 助手生成的 更少但体量更大的代码提交（pull request），进一步加剧了审查难度和潜在风险。

有专家形容这种现象为 “规模化自动化风险”：AI 确实让代码发布更快，但如果缺乏足够的人工监督，企业实际上是在“批量制造风险”。

一个突出的问题是，非技术人员也在使用 AI 辅助开发应用、脚本和报表。这些“影子工程师”往往没有接受过安全训练，容易绕过必要的安全审查和测试，结果无意中扩大了攻击面。

同时，AI 工具生成的提交动辄涉及十几个文件甚至多个微服务，令审查人员难以逐行检查。安全团队警告，这会稀释代码审核的有效性，导致漏洞更容易混入生产环境。

有安全顾问指出，传统的 SAST、DAST 等工具并非为“提示生成代码”而设计，很难在生成阶段发现这些隐患。

研究还表明，AI 助手往往写出 冗余且复杂的代码，增加了攻击面并降低可维护性。例如，它们有时会重复实现已有功能，而不是调用现有模块，导致系统臃肿。

另外，AI 在不同语言中的表现差异显著：在某些语言（如 TypeScript）中能较好地生成安全代码，但在其他语言（如 PHP）中则漏洞频发。

Apiiro 使用其 深度代码分析（DCA）引擎 对数万个代码仓库进行分析，结果显示：到 2025 年 6 月，AI 生成代码每月引入的安全问题超过 1 万个，仅半年时间就增加了十倍。

不过，也有厂商认为这个数字被夸大。部分研究显示，AI 编程助手带来的漏洞比例与人工代码相差不大。差异主要来自研究范围和方法：Apiiro 不仅统计了代码级别漏洞，还包括开源依赖和密钥泄露。

多位专家强调，AI 并不能替代开发人员的责任。

• 每个开发者仍需为提交的代码负责，即使代码由 AI 生成。

• AI 生成代码必须接受与人工代码同样的安全审查：包括代码评审、静态扫描、手工测试等。

• 企业必须提供开发人员培训，确保他们理解 AI 的局限性和潜在风险。

换句话说，AI 可以加速开发，但不能以牺牲安全为代价。

要想既利用 AI 提效，又避免放大风险，企业需要建立强有力的安全护栏：

• 在 CI/CD 流程中强制集成安全检测：包括密钥扫描、静态分析和云配置检查。

• 限制 AI 生成提交的规模，确保审查可控。

• 引入 AI 审查 AI：部署智能代理自动扫描 AI 生成的代码，检查其是否符合安全标准与合规要求。

• 将 AI 助手视为“初级开发者”，所有代码必须经过资深工程师复核。

• 保持可追溯性：清楚记录由谁提交、由哪个模型生成、使用了哪些参数，方便审计与修复。

结论

AI 编程助手无疑在推动软件开发提速，但同时也在“放大”潜藏的安全风险。企业要真正从 AI 中获益，必须在速度与安全之间找到平衡：既 harness AI 的效率优势，又确保风险在进入生产之前被识别和控制。

未来的安全重点将不只是“如何用 AI 写代码”，而是“如何用 AI 审查和保障代码”。