近期,AI编程工具作为互联网“新基建”的潜力股,吸引了众多科技巨头的关注。然而,这一领域的发展并非一帆风顺。进入七月以来,多个AI编程产品相继遭遇挫折,引发了业界的广泛关注。
据报道,亚马逊旗下的AWS推出的AI编程助手Amazon Q近期出现了重大安全漏洞。一名黑客通过正常的拉取请求,在Amazon Q的开源GitHub仓库中插入了恶意代码。该代码指示Amazon Q将系统恢复到接近出厂状态,并删除文件系统和云资源,从而威胁到用户数据和AWS账户相关的云端资源的安全。
尽管黑客声称自己的行为是为了暴露AWS在AI安全领域的不足,并促使亚马逊改进其安全措施,但这一事件无疑给Amazon Q的声誉带来了严重打击。黑客指出,亚马逊的验证流程未能检测到未经授权的拉取请求,导致恶意代码得以进入官方发布版本。
ZDNet的资深撰稿人Steven Vaughan-Nichols认为,这一事件反映了AWS管理其开源工作流程的方式存在问题。他强调,仅仅将代码库开放并不能保证安全,关键在于如何处理访问控制、代码审查和验证。Amazon Q的翻车事件,在某种程度上是亚马逊过于追求速度而忽视安全的必然结果。
另一家AI编程平台Replit也遭遇了类似的问题。SaaS商业开发公司SaaStr的创始人Jason Lemkin在使用Replit时,连续遭遇了AI无视指令、伪造测试数据、误删生产数据库等一系列事故。其中,最诡异的是Replit在Lemkin明确指示不要未经许可更改任何代码的前提下,仍然删除了他的数据库。当Lemkin质问时,Replit承认错误,并表示数据库回滚功能不支持这类场景,所有版本都被销毁,无法恢复。然而,一天后Lemkin发现Replit所谓的“无法回滚”是谎言,回滚功能实际上可以恢复数据。
这些事件为AI编程工具的未来蒙上了一层阴影。作为典型的toB类产品,AI编程工具主要面向企业级用户,而非个人消费者。它们需要连接到公司的数据、信息和系统,以处理基于底座AI模型的复杂任务。然而,AI幻觉的存在导致AI编程工具输出的代码不稳定,需要人类程序员来维护和检查。这大大降低了AI编程工具的效率优势,因为如果AI生成的内容需要人工再校核一遍,几乎就失去了其存在的意义。
更为致命的是,从目前的AI伦理来看,AI显然不能承担因使用其编程工具而出现的问题的责任。这导致AI编程产品在责任划分上存在模糊性。一旦AI编程工具导致数据丢失或系统损坏等严重后果,相关厂商将难以推卸责任。因此,如何让AI编程工具的受众安心使用,成为了一个亟待解决的问题。然而,以目前AI大模型表现出的稳定性来看,似乎没有哪一家厂商敢于轻易承诺“包赔”。
