新智元報(bào)道

【新智元導(dǎo)讀】AI寫(xiě)代碼的風(fēng)險(xiǎn)隱藏在看似正確的代碼中，可能引發(fā)數(shù)據(jù)泄露或資產(chǎn)損失。Narwhal AI Code Risks開(kāi)源項(xiàng)目整理了真實(shí)案例、早期信號(hào)和典型風(fēng)險(xiǎn)路徑，幫助開(kāi)發(fā)者提前識(shí)別隱患，避免重蹈覆轍。

2026年，代碼正以越來(lái)越快的速度生成，卻以越來(lái)越少的審視被部署。

越來(lái)越多時(shí)候，用戶(hù)的需求被放進(jìn)對(duì)話(huà)框，AI讀完上下文，補(bǔ)全函數(shù)，拉起依賴(lài)，改好配置，再順手生成測(cè)試。

等回過(guò)神來(lái)，一段代碼已經(jīng)躺在倉(cāng)庫(kù)里，等待合并。

用戶(hù)都已經(jīng)形成了新的習(xí)慣，先讓AI寫(xiě)出來(lái)跑起來(lái)，有問(wèn)題再看哪里需要改。

但軟件世界里，最危險(xiǎn)的東西往往是看起來(lái)平平無(wú)奇的代碼：語(yǔ)法正確，接口合法，測(cè)試通過(guò)，注釋完美。

可它仍然可能引入不存在的包名，打開(kāi)過(guò)寬的權(quán)限，暴露數(shù)據(jù)庫(kù)......甚至讓一個(gè)能直接調(diào)用系統(tǒng)工具的 Agent 在提示詞注入下，把敏感數(shù)據(jù)帶出內(nèi)部系統(tǒng)。

真正危險(xiǎn)的，不是報(bào)錯(cuò)紅燈亮起。而是所有風(fēng)險(xiǎn)儀表都顯示正常。

AI 寫(xiě)代碼的風(fēng)險(xiǎn)，過(guò)去散落在各處：一篇安全博客藏著一個(gè)案例，一個(gè) Issue 記著一段線索。等下一個(gè)團(tuán)隊(duì)遇到同類(lèi)問(wèn)題時(shí)，又需要從頭拼湊風(fēng)險(xiǎn)來(lái)源、又要耗費(fèi)大量時(shí)間精力對(duì)代碼進(jìn)行大規(guī)模實(shí)證測(cè)量。

而北京大學(xué)Narwhal-Lab剛剛開(kāi)源的Narwhal AI Code Risks已經(jīng)把信息碎片整理好，按照真實(shí)事件、早期信號(hào)和典型風(fēng)險(xiǎn)路徑這三種類(lèi)型歸類(lèi)，供研究者查看。

論文鏈接： https://github.com/Narwhal-Lab/Narwhal-aicode-risks

當(dāng)28項(xiàng)檢查全部通過(guò)

系統(tǒng)仍然偏航

第一條線索是一個(gè)已經(jīng)合并的Pull Request，PR署名欄里赫然寫(xiě)著Claude Opus 4.6和Copilot，以及四位人類(lèi)開(kāi)發(fā)者。28項(xiàng)檢查全部通過(guò)：沒(méi)有人發(fā)現(xiàn)問(wèn)題。

然后，清算機(jī)器人花了幾分鐘，拿走了價(jià)值1,778,044.83美元的抵押品。

配置文件里cbETH的價(jià)格被設(shè)成了和ETH的換算比例，約等于1.12美元，而不是實(shí)際接近2,200美元的價(jià)格。

一個(gè)價(jià)格語(yǔ)義錯(cuò)誤就這樣穿過(guò)了開(kāi)發(fā)、檢查和合并流程，最后在金融系統(tǒng)里變成了真實(shí)損失。這就是Moonwell cbETH預(yù)言機(jī)配置事故最刺眼的地方。

問(wèn)題就出在代碼中沒(méi)有語(yǔ)法報(bào)錯(cuò)，人類(lèi)開(kāi)發(fā)者也沒(méi)有立刻阻斷異常的流程。相反，它看起來(lái)很完整，很順利，這就是一次正常的工程交付。

但正是這種暗流涌動(dòng)的正常，才讓它成為安全事件的典型例子。

AI Coding的風(fēng)險(xiǎn)在于它并不總是以報(bào)錯(cuò)的方式出現(xiàn)。

很多時(shí)候，它披著正確答案的外衣，安靜地進(jìn)入工程流程。代碼能跑，檢查能過(guò)，PR能合并，但業(yè)務(wù)語(yǔ)義已經(jīng)偏離了真實(shí)世界。

在低風(fēng)險(xiǎn)項(xiàng)目里，這種語(yǔ)義偏離可能只是一次返工；但在金融、企業(yè)數(shù)據(jù)系統(tǒng)等敏感場(chǎng)景中，它將直接泄露數(shù)據(jù)、暴露權(quán)限和損失資產(chǎn)。

當(dāng)AI參與寫(xiě)代碼、改配置、做review、甚至共同署名進(jìn)入PR時(shí)，我們有沒(méi)有足夠把握知道每一次偏航是怎么發(fā)生的？

綠色通行信號(hào)

照不到所有角落

早期的AI幫你寫(xiě)代碼，大多停留在局部補(bǔ)全。如果語(yǔ)法寫(xiě)錯(cuò)了，編譯器會(huì)報(bào)錯(cuò)，單元測(cè)試會(huì)失敗，CI流程會(huì)將其拒之門(mén)外。

今天的AI Coding走得更遠(yuǎn)而監(jiān)管卻遲遲卻未跟上。

它能讀文件，能改配置，能安裝依賴(lài)，能生成基礎(chǔ)設(shè)施腳本，也能通過(guò)Agent在多個(gè)任務(wù)之間自行規(guī)劃。

AI不再只是坐在旁邊遞工具，它開(kāi)始進(jìn)入軟件工程的更長(zhǎng)鏈路。

軟件工程里原本清晰的邊界，被AI Agent重新連成了一條更長(zhǎng)、更難溯源的路徑。

分散的記錄

需要一份公共航行日志

安全事件很少一開(kāi)始就有完整結(jié)論。有些事件證據(jù)充分，可以作為真實(shí)案例進(jìn)入目錄；有些還停留在社區(qū)截圖、研究員討論或初步披露階段，只適合繼續(xù)觀察；還有一些不綁定單一真實(shí)事件，卻已經(jīng)形成清晰模式，適合拿來(lái)做提前推演。

Narwhal AI Code Risks把材料分成三層：`cases/`、`inferred/` 和 `scenarios/`。

cases/記錄已經(jīng)有公開(kāi)來(lái)源和證據(jù)鏈支撐的真實(shí)事件;inferred/保存還沒(méi)有完全坐實(shí)、但值得持續(xù)追蹤的早期信號(hào);scenarios/整理暫不綁定單一事件、但風(fēng)險(xiǎn)路徑足夠清晰的典型場(chǎng)景。

如果沒(méi)有這樣的公共記錄，AI Coding 的風(fēng)險(xiǎn)很容易變成互聯(lián)網(wǎng)里的短期記憶。

今天大家記得某個(gè)包名，明天討論某次數(shù)據(jù)暴露，過(guò)幾個(gè)月又被新的工具熱潮覆蓋。等相似問(wèn)題再次出現(xiàn)，團(tuán)隊(duì)仍像無(wú)頭蒼蠅撞進(jìn)風(fēng)險(xiǎn)未知的航區(qū)。

Narwhal AI Code Risks做的，就是把這些零散風(fēng)險(xiǎn)片段固定下來(lái)，讓后來(lái)的人可以翻到同一頁(yè)。

沿著七類(lèi)索引

看見(jiàn)風(fēng)險(xiǎn)的來(lái)路

AI寫(xiě)代碼帶來(lái)的問(wèn)題，不只在代碼里。它在依賴(lài)?yán)?，在?quán)限里，在Agent的工具調(diào)用里，更在人類(lèi)對(duì)AI輸出的信任方式里。

Narwhal AI Code Risks目前把風(fēng)險(xiǎn)分成7類(lèi)：供應(yīng)鏈、代碼級(jí)漏洞、云與基礎(chǔ)設(shè)施配置、Agent風(fēng)險(xiǎn)、垂直領(lǐng)域風(fēng)險(xiǎn)、知識(shí)產(chǎn)權(quán)與合規(guī)風(fēng)險(xiǎn)，以及人為因素。

在供應(yīng)鏈風(fēng)險(xiǎn)里 ，AI可能推薦不存在的依賴(lài)。代碼級(jí)漏洞里，AI可能把路徑遍歷、輸入校驗(yàn)缺失、鑒權(quán)問(wèn)題重新寫(xiě)進(jìn)業(yè)務(wù)代碼。云與基礎(chǔ)設(shè)施配置里，AI可能為了先把代碼跑起來(lái)給出過(guò)寬的權(quán)限、公開(kāi)的存儲(chǔ)桶或暴露的端口。Agent風(fēng)險(xiǎn)則更復(fù)雜，不只是生成文本，而是開(kāi)始執(zhí)行動(dòng)作。AI生成物正在給真實(shí)系統(tǒng)埋下隱患。

AI引擎在點(diǎn)火

而航行日志才剛剛翻開(kāi)

當(dāng)AI一步步走進(jìn)真實(shí)世界，相關(guān)的風(fēng)險(xiǎn)防治不應(yīng)該只停留在事后復(fù)盤(pán)或零散討論中。

Narwhal AI Code Risks真正重要的地方，是把風(fēng)險(xiǎn)案例變成可以復(fù)用的知識(shí)。

開(kāi)發(fā)者可以用它識(shí)別相似問(wèn)題；安全研究人員可以把它作為樣本庫(kù)；工具廠商可以從中提取檢測(cè)規(guī)則和評(píng)測(cè)基準(zhǔn)；開(kāi)源社區(qū)也可以繼續(xù)補(bǔ)充新的案例、新的證據(jù)和新的風(fēng)險(xiǎn)類(lèi)型。

AI 的引擎正在轟鳴，每一次偏航也都應(yīng)該留下坐標(biāo)。風(fēng)險(xiǎn)從來(lái)不會(huì)因?yàn)楸缓鲆暥?，但?jīng)驗(yàn)可以被記錄與傳遞。真正有價(jià)值的并非發(fā)現(xiàn)一次漏洞，而是讓后來(lái)者不必再踏入同一個(gè)陷阱。

Narwhal AI Code Risks正在做的，就是為AI應(yīng)用元年的軟件世界，留下一份開(kāi)源的航行日志。

參考資料：

https://github.com/Narwhal-Lab/Narwhal-aicode-risks

編輯：LRST