News (CN)

人工智能推动新的 Owasp 十大列表重点关注新兴网络威胁

作者 Redação Mix Vale 2026年1月24日 1 min de leitura
WhatsApp Twitter Facebook 在Google上关注 E-mail
Owasp
照片: Owasp - pisekar/shutterstock.com

人工智能快速融入软件开发周期推动了 Owasp Top 10 排名的最新更新,该排名是针对 Web 应用程序中最关键威胁的全球参考指南。最近发布的该文件反映了范式转变,认识到严重依赖自动化、云和第三方组件的现代架构已经创建了新的复杂攻击媒介。新列表作为开发人员、安全工程师和技术经理的战略手册,指导在通常由人工智能助手驱动的开发速度可能无意中引入系统缺陷的情况下缓解漏洞。重点已从孤立的编码缺陷转向架构和设计风险,这些风险具有更广泛的潜在危害。

对外部库和基于人工智能的编码向导的日益依赖扩大了组织的攻击面。 DevOps 开发模型所需的敏捷性通常会将基本的治理和安全协议留在后台。

这种动态加速了漏洞在互连软件生态系统中的传播,需要采取主动、集成的安全方法。已确定的主要威胁包括:

cibersegurança
网络安全 – SWKStock/Shutterstock.com

– 损害业务逻辑的设计缺陷。

– 云环境中的安全设置不足。

[[MVG_PROTECTED_BLOCK_0]

– 使用具有已知漏洞的软件组件。

– 身份验证和访问控制机制的破坏。

设计漏洞和不当配置导致风险

与不安全设计和不正确配置相关的故障持续出现在排名的前列,这表明在开发生命周期后期应用安全性是一种无效的策略。许多技术团队在开始编写微服务和 API 之前,在实施强大的威胁模型方面仍然遇到障碍,这造成了巨大的差距。云基础设施的复杂性以及多层互连服务使其成为攻击者的有吸引力的目标,这些攻击者利用默认设置或过多的权限来获得对敏感系统和数据的未经授权的访问。

集成开源库和外部 API 等第三方软件组件已成为加速创新的标准做法,但它也引入了一个代码来源和安全性往往未知的生态系统。当失败的配置进入持续集成和交付(CI/CD)管道时,它可以在几分钟内自动传播到多个生产环境。这种情况强化了实施自动化、基于策略的安全控制的迫切需要,这些安全控制可以与现代技术发展相同的速度运行,在部署之前验证每个组件。

人工智能对代码安全的影响

使用人工智能生成代码块带来了新的挑战,虽然没有列为单一类别,但间接映射到几个 Owasp Top 10 威胁。像 GitHub Copilot 这样的智能助手可以显着提高开发人员的工作效率,但它们也能够复制训练数据中发现的不安全编码模式。同样,这些工具可能会建议使用过时的 API 或具有已知漏洞的库,从而引入可能在肤浅的手动审查中被忽视的系统性风险。在没有合格专业人员适当监督的情况下加速开发可能会导致设计决策薄弱,从而损害关键系统的长期完整性和安全性。

Leia Tambem
新的电池测试使 Galaxy S26 Ultra 在全球排名中领先于 iPhone 17 Pro Max

新的电池测试使 Galaxy S26 Ultra 在全球排名中领先于 iPhone 17 Pro Max

三星为 Galaxy Watch 4 用户发布新系统更新和新功能

三星为 Galaxy Watch 4 用户发布新系统更新和新功能

数字零售通过银行奖金和设备交换降低了 Galaxy S25 5G 智能手机的价值

数字零售通过银行奖金和设备交换降低了 Galaxy S25 5G 智能手机的价值

安全自动化作为弹性的支柱

在开发过程中大规模采用自动化必须伴随着同样自动化的安全工具,能够实时分析添加到项目中的每一行新代码和依赖项。

将安全即代码策略直接集成到 DevOps 工作流程中,甚至可以在生产环境中部署之前检测到并修复缺陷,从而大大降低修复成本和运营风险。

安全静态分析 (SAST)、动态分析 (DAST) 和软件组合分析 (SCA) 工具分别对于识别源代码、运行时和第三方库中的漏洞至关重要。

这一战略方法与 Owasp 新强调的建立主动弹性相一致,重点是预防事件,而不仅仅是在事件发生后做出反应,从而确保更稳健、更安全的开发周期。

人工智能环境中的数据保护和信任边界

人工智能系统和大量敏感数据之间的持续交互创造了新的安全边界,需要持续和严格的监控。未能验证数据输入或访问控制不足不仅会导致机密信息泄露,还会导致对自动化模型行为的操纵,这种风险称为“即时注入”。虽然这些风险被映射到传统的 Owasp 类别,例如访问控制漏洞和故障注入,但在大规模处理数据以训练和操作语言模型的环境中,它们的影响规模会被放大。

因此,组织在将人工智能工具与外部 API 和企业数据库集成时必须建立非常明确的信任边界。持续监控软件生命周期中使用的每个组件(包括模型训练数据集)的来源,是确保漏洞不被继承和利用的唯一方法。如果无法完全了解其应用程序的构成,公司仍然容易受到利用技术供应商和人工智能组件信任的攻击,从而使可追溯性成为现代安全的基本支柱。

完整的软件供应链可视性

确保当今技术环境的安全需要公司维护所有正在使用的软件工件的详细且最新的清单,其中不仅包括代码库,还包括人工智能模型、数据集和容器。在恶意软件包、过时的依赖项或不安全的配置成为生产事件之前快速识别它们的能力是数字弹性组织的关键竞争优势。通过软件物料清单 (SBOM) 保持所用每个组件的来源和质量的透明度,可以加强安全态势并保护品牌在网络风险意识日益增强的全球市场中的声誉。

安全与开发一体化协作

现代软件开发时代不再允许安全团队和工程团队之间的隔离。集成协作(称为 DevSecOps)以及使用数据智能来监控新兴威胁是解决 Owasp 列出的复杂挑战的关键。