近期安全研究发现,多款主流AI编码工具存在逻辑漏洞,波及亚马逊、Anthropic、Google、Cursor等多家头部科技厂商。该漏洞可导致AI向开发者输出虚假安全结论,误导开发者基于错误信息作出决策,暴露出当前AI应用普遍采用的「人在回路」机制存在未被重视的系统性缺陷,对企业软件开发流程构成潜在安全威胁。此次曝光的漏洞最早由独立安全团队在测试AI编码助手Cursor时发现:当开发者要求AI代理核查代码风险、验证第三方依赖包安全性时,攻击者可通过预先埋入的特殊注释、恶意签名诱导AI输出完全相反的验证结论,而多数开发者会默认采信AI给出的结果,很少启动二次核验流程。据全球开发者生态报告统计,2024年上半年企业开发者使用AI编码工具的渗透率已经从2023年的32%攀升至68%,其中亚马逊CodeWhisperer、Google Gemini Code Assist、Cursor、集成了Anthropic Claude能力的编码插件是市场占比最高的四款产品,总覆盖量超过2000万企业开发者用户,几乎触及所有科技行业的核心研发链路。“人在回路”一直被业内视为平衡AI效率和安全的核心方案,其...