Các nhà phát triển phần mềm trên toàn thế giới đang sử dụng trợ lý AI để tăng năng suất viết mã, nhưng bảo mật chưa theo kịp với tốc độ áp dụng.
Mã được tạo bởi AI thường chứa các lỗ hổng:
mặc định không an toàn, thiếu xác thực đầu vào, bí mật được mã hóa cứng, mật mã yếu và các phụ thuộc lỗi thời.
Những lỗi này lọt vào môi trường sản xuất mà không được chú ý.
Ngành công nghệ đã cần một cách tiếp cận thống nhất, mở để bảo mật mã hóa với sự trợ giúp của AI.
Cisco hiện đang mã nguồn mởDự án CodeGuard, framework nội bộ của họ để bảo mật mã được tạo bởi AI.
Dự án CodeGuard tích hợp các quy tắc bảo mật mặc định vào quy trình làm việc mã hóa AI.
Nó bao gồm bộ quy tắc được cộng đồng phát triển, trình chuyển đổi cho các công cụ mã hóa AI phổ biến và trình xác thực để tự động thực thi bảo mật.
Cisco cho biết mục tiêu là “làm cho mã hóa AI an toàn trở thành mặc định, mà không làm chậm các nhà phát triển.”
Các quy tắc hoạt động xuyên suốt vòng đời mã hóa AI.
Chúng có thể được áp dụng trong thiết kế sản phẩm và phát triển dựa trên đặc tả, trong giai đoạn lập kế hoạch để hướng các mô hình theo các mẫu bảo mật, trong quá trình tạo mã để ngăn chặn sự cố trong thời gian thực và sau khi tạo để xem xét tự động.
Các tác nhân AI như Cursor, GitHub Copilot, Codex, Windsurf và Claude Code có thể sử dụng các quy tắc ở bất kỳ giai đoạn nào.
Điều này tạo ra sự bảo vệ theo lớp mà không hy sinh tốc độ vốn làm cho các công cụ mã hóa AI có giá trị.
Ví dụ, một quy tắc xác thực đầu vào có thể đề xuất các mẫu xử lý an toàn trong quá trình tạo, gắn cờ xử lý không an toàn trong thời gian thực và xác minh việc làm sạch thích hợp trong mã cuối cùng.
Một quy tắc quản lý bí mật có thể ngăn chặn thông tin xác thực được mã hóa cứng, cảnh báo về các mẫu dữ liệu nhạy cảm và xác nhận các bí mật được ngoại vi hóa một cách an toàn.
Các quy tắc hướng AI đến các mẫu an toàn hơn và tránh xa các lỗ hổng phổ biến, nhưng chúng không đảm bảo đầu ra an toàn.
Cisco nhấn mạnh rằng các nhà phát triển sử dụng AI để mã hóa vẫn phải áp dụng các thực hành bảo mật tiêu chuẩn, bao gồm cả đánh giá đồng cấp.
Dự án CodeGuard là một lớp bảo vệ theo chiều sâu, không phải là sự thay thế cho phán đoán kỹ thuật hoặc các yêu cầu tuân thủ.
Phiên bản 1.0.0 bao gồm các quy tắc bảo mật cốt lõi dựa trên hướng dẫn của OWASP và CWE, tập lệnh tự động dịch quy tắc cho Cursor, Windsurf và GitHub Copilot, và tài liệu cho các cộng tác viên mới.
Lộ trình bao gồm phạm vi ngôn ngữ rộng hơn, tích hợp nền tảng nhiều hơn và xác thực quy tắc tự động.
Các phiên bản trong tương lai sẽ tự động dịch quy tắc cho các nền tảng mới, đề xuất quy tắc dựa trên ngữ cảnh dự án và ngăn xếp công nghệ, duy trì tính nhất quán trên các tác nhân, giảm cấu hình thủ công và cung cấp vòng lặp phản hồi để cải thiện quy tắc dựa trên mẫu sử dụng.
Cisco muốn sự tham gia của cộng đồng để cải thiện hơn nữa công cụ bảo mật mã hóa AI mã nguồn mở của họ.
Các kỹ sư bảo mật, nhà phát triển phần mềm và nhà nghiên cứu AI có thể đóng góp bằng cách gửi quy tắc cho các ngôn ngữ, framework hoặc lỗ hổng cụ thể;
xây dựng trình chuyển đổi cho các công cụ AI khác;
hoặc chia sẻ phản hồi thông qua báo cáo lỗi, đề xuất cải tiến và đề xuất tính năng.
