企業不應回避利用AI工具，但需要找到最大化效率和緩解企業風險之間的平衡點。他們需要做到以下幾點：

制定無縫的AI安全政策

以往，AI可能只是開發人員或專家交互的技術，但如今，公司各層級的員工都使用AI來協助他們完成各種任務。因此，企業必須教育所有員工，讓他們了解哪些大型語言模型和智能體應用程序是他們被授權使用的，以及他們可以與這些系統共享哪些類型的數據。

公司要安全地部署和利用這項技術，制定一個明確的安全政策至關重要。這項技術將繼續快速發展和創新，賦予自動化和機器在企業決策中更大的權力，而公司的第一道防線就是一個清晰、易懂的AI政策，讓整個公司都了解并遵守。

執行安全政策也意味著為企業定義可接受的風險評級，以及隨著環境變化重新確定風險評級的優先級。

總會有錯誤和誤報。不同的企業根據其運營和數據敏感性，有不同的風險承受能力或不同的解釋。

企業必須牢記，安全政策的目標不是打斷員工的工作流程或使其難以遵守，而是最終保護企業和其客戶。安全政策越是無縫銜接，公司內部人員就越不可能為了利用AI創新而繞過它們。

確保開發人員具備安全編碼知識

除了圍繞AI的使用制定明確的安全政策外，公司還必須考慮其開發人員使用新的AI工具和智能體來幫助他們更快編寫代碼的愿望。在這種情況下，公司必須確保其安全團隊已經測試了這些潛在的AI工具，并且他們的開發人員已經接受了安全編碼培訓，具備對常見漏洞、安全設計原則和軟件功能安全實現的廣泛知識，并且要不斷提升自己。

開發人員擁有這樣的知識可能是阻止漏洞在生產環境中發生的關鍵，也是保護企業免受可能因AI采用增加而產生的潛在漏洞和惡意攻擊的關鍵。

然而，現實是，只有少數開發人員在大學或學院環境中學習，而且，即使在美國排名前50的本科計算機科學課程中，也沒有一門課程要求主修生學習安全代碼或應用程序安全。

開發人員需要具備超越基本編碼知識的安全編碼思維方式。開發人員編寫的代碼需要清晰、優雅且安全。如果不是這樣，那么編寫的代碼就會受到攻擊。因此，由行業推動的安全編碼培訓是必不可少的，并且必須融入企業的文化中，尤其是在當前技術裁員加劇已經普遍存在的應用程序安全困境的時代。

此培訓應：

超越“勾選框”式的意識

一次性教育計劃已經不夠了;教育必須是一個不斷發展的過程，以更好地理解和做出架構決策。它永遠都不應是一種“一次性”的“勾選框”方法，而是一個持續的過程。在這個惡意智能體快速發展、零日漏洞頻發以及供應鏈融入越來越多復雜元素的時代，教育必須與安全威脅同步發展，以賦予團隊當前的知識。

設定可衡量的目標

為了確保任何培訓計劃都能成功，重要的是要收集可用于衡量進度的信息。例如，這可能是培訓前后開發人員代碼中出現的漏洞數量。

隨著開發人員通過培訓不斷進步，提供反饋有助于激勵他們改進，并確保員工繼續參與其安全倡導者計劃。提供有形的報告也有助于獲得利益相關者的支持和認可。通過分享已證實的成功，安全培訓就不必再不斷向董事會辯護。

保持相關性

重要的是，培訓要根據開發人員日常的問題和工作流程進行調整，使用他們相關的編程語言，并針對他們在企業中的具體角色。如果教育過于先進、過于基礎或與開發人員每天使用的語言和問題無關，那么它將不會引起共鳴。更重要的是，必須為開發人員提供上下文——不僅僅是解決方案是什么，還有為什么它很重要。

激勵安全方面的成功

企業應該為那些在日常工作中始終遵循安全最佳實踐的人提供獎勵和激勵。這些不必是金錢獎勵，而是最適合公司業務文化的獎勵。然后，這些安全“倡導者”可以樹立榜樣、吸引他人，并有機地推動變革。