當ChatGPT等工具出現故障時，軟件開發人員離開工位、臨時休息或沮喪地靠在椅背上的場景并不罕見。對許多技術從業者而言，AI輔助編碼工具已成為日常便利。即便是像2025年3月24日那樣的短暫中斷，也可能導致開發工作停滯。

"該泡杯咖啡曬15分鐘太陽了，"一位Reddit用戶寫道。"同感，"另一人回復道。

包括網絡安全從業者在內的技術專業人員對ChatGPT等生成式AI工具的依賴正持續增長。這些工具正在改變開發者編寫代碼、解決問題、學習和思考的方式——通常能提升短期效率。但這種轉變伴隨著代價：開發者可能弱化自身的編碼和批判性思維能力，最終對個人及其所在組織產生長期影響。

"我們注意到初級從業者（尤其是剛進入網絡安全領域的人員）普遍缺乏對系統層面的深入理解，"Tuskira聯合創始人兼CISO/CPO Om Moolchandani表示，"許多人能生成功能性代碼片段，卻難以解釋其底層邏輯或針對真實攻擊場景進行加固。"

微軟近期調查印證了Moolchandani的觀察：依賴AI完成部分工作的員工往往較少深入質疑、分析和評估自己的工作成果，特別是當他們相信AI能提供準確結果時。"使用生成式AI工具時，批判性思維的投入從信息收集轉向信息驗證，從問題解決轉向AI響應整合，從任務執行轉向任務監管，"報告指出。

短期收益與長期風險

部分CISO對AI代碼生成器（尤其是初級開發者群體中）日益增長的依賴性表示擔憂，另一些則持觀望態度，認為這可能是未來問題而非當前威脅。Endor Labs首席信息安全官Karl Mattson指出，多數大型企業的AI應用仍處早期階段，實驗收益仍大于風險。

"我尚未看到明確證據表明AI依賴導致基礎編碼技能普遍退化，"他表示，"當前我們處于創造性樂觀階段，通過原型設計獲取AI應用的早期成功。核心基礎能力的衰退似乎還很遙遠。"

但已有專家觀察到過度依賴AI編寫代碼的影響。耶魯隱私實驗室創始人兼PrivacySave首席執行官Sean O'Brien對此表示強烈擔憂：重度依賴ChatGPT或低代碼平臺的開發者"往往形成'氛圍編碼'心態，更關注功能實現而非理解工作原理"。

Cynet首席技術官Aviad Hasnis特別關注初級從業者"嚴重依賴AI生成代碼卻未充分理解其底層邏輯"的現象。他認為這種過度依賴對個人和組織構成多重挑戰："網絡安全工作需要超越AI建議的批判性思維、故障排除能力和風險評估能力。"

DH2i聯合創始人兼CTO Oj Ngo警告，雖然AI代碼生成器能提供快速解決方案和短期收益，但長期依賴可能適得其反："當AI系統不可用或不足時，開發者可能難以適應，最終影響其作為創新者和技術專家的效能。"

合規盲區與法律風險

隨著生成式AI深度融入軟件開發和安全工作流，網絡安全領導者對其可能引入的盲區表示擔憂。

"AI能生成看似安全的代碼，但缺乏對組織威脅模型、合規需求和對抗風險環境的上下文認知，"Moolchandani強調。

他列舉兩大問題：AI生成的安全代碼可能無法抵御不斷演變的攻擊技術；可能無法反映組織的特定安全態勢和需求。此外，AI生成代碼可能造成安全假象，因為開發者（特別是經驗不足者）常默認其安全性。

更存在違反許可條款或監管標準的合規風險。"許多AI工具（特別是基于開源代碼庫生成代碼的工具）可能無意間引入未經審查、許可不當甚至惡意的代碼，"O'Brien指出。開源許可通常對署名、再分發和修改有特定要求，依賴AI生成代碼可能導致意外違規。

"這在網絡安全工具開發中尤為危險，遵守開源許可不僅是法律義務，更影響安全態勢，"O'Brien補充道，"意外違反知識產權法或引發法律責任的風險巨大。"

Digital.ai首席技術官Wing To從技術角度指出，AI生成代碼不應被視為萬能方案："AI生成代碼的關鍵挑戰在于人們誤以為其質量優于人工編寫代碼。實際上可能包含訓練數據中埋藏的漏洞、錯誤、受保護IP等質量問題。"

人才評估范式轉變

既然生成式AI將長期存在，CISO及其組織必須重視其影響。新常態下，需要建立護欄機制以促進批判性思維、深化代碼理解并強化各編碼團隊的問責制。

Moolchandani建議企業重新評估招聘過程中的技術技能考核方式："代碼測試可能不再足夠——需要更關注安全推理、架構設計和對抗思維。"DH2i在招聘中通過評估候選人對AI的依賴程度，衡量其獨立思考和工作的能力。

紐約大學全球CIO Don Welch持相似觀點：在新范式中取得成功的人將保持好奇心、提出問題并努力理解周圍世界。"要雇傭那些重視成長和學習的人，"他表示。

部分網絡安全領導者擔憂，過度依賴AI可能加劇行業本已存在的人才短缺危機。對中小型組織而言，尋找并培養技術人才將愈發困難。"如果下一代安全專業人員主要接受AI使用培訓而非批判性思考安全挑戰，行業可能難以培養推動創新和韌性的資深領導者，"Hasnis警告道。

AI不應取代編程知識

Moolchandani指出，使用AI工具編寫代碼卻未建立深厚技術基礎的早期從業者面臨發展停滯的高風險："中長期看，這可能限制其向需要威脅建模、可利用性分析和安全工程專業知識的高級安全角色發展。企業很可能會區分用AI增強技能和依賴AI彌補基礎缺陷的員工。"

專家建議組織加強培訓并調整知識傳遞方式："在職培訓應更注重實踐，聚焦真實漏洞、利用技術和安全編碼原則，"Moolchandani強調。Mattson補充道，持續技能提升的文化能適應任何技術變革。

Hasnis認為培訓應幫助員工理解AI的優勢與局限："通過AI驅動效率與人工監督相結合，企業既能利用AI優勢，又能確保安全團隊保持專注、專業和彈性。"他建議開發者始終質疑AI輸出，特別是在安全敏感環境中。

O'Brien主張AI應與人類專業知識相輔相成："企業需建立將AI視為工具的文化——它能輔助但無法取代對編程及傳統軟件開發部署的深入理解。"

"企業絕不能陷入用AI掩蓋專業知識不足的陷阱。"