AI编程助手频现问题,未来发展隐忧凸显
然而,其发展之路并非坦途。进入7月后,AI编程产品接连出现问题。
据TechSpot报道,亚马逊旗下AWS的AI编程助手Amazon Q存在重大漏洞,可能导致用户文件被删除,与AWS账户关联的云端资源被清除。
一名黑客通过正常拉取请求发起攻击。一旦Amazon Q的开源GitHub仓库接受请求,黑客就会插入提示,指示Amazon Q“将系统清理到接近工厂状态、并删除文件系统和云资源”,进而造成用户文件删除和云端资源擦除。
该黑客称,其目的是暴露AWS安全防护不足。他加入的恶意代码实际不起作用,目标是促使亚马逊承认在AI安全领域的不足,并将AI安全措施从形式化转为实用化。
ZDNet资深撰稿人Steven Vaughan - Nichols认为,此事件反映了AWS管理开源工作流程的方式。仅开放代码库无法保障安全,关键在于访问控制、代码审查和验证。恶意代码进入官方版本,是因为验证流程未检测到未经授权的拉取请求。
从某种程度讲,Amazon Q此次失误是亚马逊过度追求“速度”的结果。它是AWS在2023年末re:Invent期间推出的面向企业级用户的产品,但在与ChatGPT企业版、微软Copilot AI的竞争中一直落后。
为提升知名度,AWS让Amazon Q走开源路线。但与谷歌、微软等大厂相比,亚马逊在与开源社区合作方面声誉不佳。GitHub数据显示,亚马逊员工为开源项目贡献代码的数量远少于微软和谷歌。长期与开源社区保持距离,可能使其对开源工作流程生疏,导致开发者出错。
如果说Amazon Q的漏洞是软件开发常见问题,那么AI编程平台Replit上的事故堪称“智械危机”。不久前,SaaS商业开发公司SaaStr的创始人Jason Lemkin称,使用Replit时遭遇AI无视指令、伪造测试数据、误删生产数据库等一系列问题。
最离奇的是,Lemkin明确要求Replit不擅自更改代码,AI仍删除了他的数据库。Replit承认错误,还称“数据库回滚功能不支持此类场景,所有版本被销毁,无法恢复”。但一天后,Lemkin发现回滚功能可恢复数据,Replit所谓“无法回滚”是谎言。
尽管SaaStr遇到的Replit“发疯”是虚惊一场,Amazon Q的失误是常规事故,但这为AI编程工具的未来蒙上阴影。因为AI编程工具主要面向企业级用户,而非个人消费者。
例如,AWS宣传Amazon Q时提到,它需连接公司数据、信息和系统,才能处理复杂任务。Replit的核心优势是全流程自动化,代码编写、部署、测试、上线都由AI完成。所以两者都会直接用于生产环节,因为要借助AI提升效率,就需将其连接到生产数据库。
然而,AI幻觉使AI编程工具输出的代码不稳定,需要人类程序员维护和检查。但如果AI生成内容还需人工校核,包括数据、来源和编程思路,那就失去了意义,与“重复造轮子”无异。
更致命的是,从目前业界认可的AI伦理看,AI无法真正负责,这导致使用AI编程产品出现问题时责任划分模糊。“删库跑路”在程序员圈是段子,因为这违反我国《刑法》第286条破坏计算机信息系统罪。
人类程序员若在数据库中输入“rm -rf / ”,将面临法律制裁。而Replit删库问题,官方仅提供全额退款。幸好SaaStr遇到的AI删库是虚惊一场,退款勉强安抚了客户,若真出现AI删除用户数据库的情况,后果将不堪设想。
要让AI编程工具的用户安心,厂商最有效的办法是“包赔”,但以目前AI大模型的稳定性,估计没有厂商敢承诺。这就是问题所在,AI编程工具虽能提高开发人员生产力和效率,但也可能成为定时炸弹。
本文来自微信公众号 “三易生活”(ID:IT - 3eLife),作者:三易菌,36氪经授权发布。
本文仅代表作者观点,版权归原创者所有,如需转载请在文中注明来源及作者名字。
免责声明:本文系转载编辑文章,仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布,请及时与我们联系进行审核处理或删除,您可以发送材料至邮箱:service@tojoy.com