德媒：“氛围编程”隐藏信息安全风险

　　参考消息网5月14日报道 据德国《商报》网站4月24日报道，人工智能早已成为许多软件开发人员的助手。Github公司的“智能副驾驶”（Copilot）等人工智能编程辅助工具能在几秒钟内写出数行代码，在开发人员还没有想到下一行代码之前，就能修复错误或添加代码。

　　从事电子游戏开发已有30年的卡斯滕·基斯拉特说：“头几次使用它时，我感觉大脑扩张了！”他说，他不是程序员，但偶尔会用Python编程语言编写一些较小的应用程序。在这方面，人工智能给予了他帮助。

　　基斯拉特掌握了一些基本的编程知识，但现在，即使是完完全全的门外汉也能开发软件。他们只需向人工智能描述自己的想法。这种编程方式的专业术语叫做“氛围编程”。

　　但信息技术安全专家警告称，当人工智能不仅仅作为辅助手段而是负责编写整个程序时，就会存在风险。有缺陷的程序可能泄露用户数据，使其非常容易落入黑客之手。记者就这一趋势带来的机遇和问题采访了开发人员、“氛围程序员”和信息技术安全专家。

　　基斯拉特回忆道：“过去，我在编程的时候必须做上7个小时的功课才能让程序运行。”从零开始学习编程是艰难吃力的。代码不会容忍任何错误：一个错误字母可能会让程序停止运行，一个糟糕的结构可能会让程序运行缓慢或导致程序崩溃。

　　基斯拉特表示，有了人工智能助手聊天生成预训练转换器（ChatGPT），他现在的工作效率大大提高，“我现在只需要花费十分之一的时间”。例如，他借助人工智能完成了初始的电子游戏设计，然后对它们进行测试或将它们作为概念展示给客户。

　　塞巴斯蒂安·多伊奇是初创软件公司“9元素”的创始人。他对利用人工智能辅助编程持积极态度：“一直以来，我都是这么告诉我们的初级开发人员的：在你们问我之前，请先问问ChatGPT。”

　　许多开发人员已经开始使用人工智能编程，“氛围编程”则更进一步。这一概念是由人工智能开发商开放人工智能研究中心（OpenAI）的联合创始人安德烈·卡尔帕蒂在社交平台X上发表的一篇帖子中提出的。他表示，在使用这种新型编程方式时，应当让自己沉浸于“氛围”，也就是说：跟着感觉走。他写道，他只需与人工智能对话并“忘记代码的存在，最流行的全新编程语言便是英语”。

　　彼得·克吕克是一位“氛围程序员”。他大学学的实际上是企业经济学，但他现在正借助人工智能聊天机器人开发应用程序。他通常使用人工智能开发商Anthropic公司的“克劳德”模型。在向人工智能描述自己的想法后，人工智能便会为他生成整个软件架构。克吕克已经通过这种方式创建了自己的招聘平台、乒乓球俱乐部网站和集成了人工智能功能的聊天群。

　　这种软件开发方式被称为“无代码”。氛围程序员只需说明想创建的内容，人工智能便会完成剩余的工作。创建可运行的应用程序不再需要自己编写代码。

　　现在已经有了专门进行“无代码”开发的平台。其中最著名的是“可爱”平台和“光标”代码编辑器，它们也能通过文本输入来工作。“可爱”平台的广告词是“从想法到应用程序只需几秒钟”。用户可以在该平台上分享他们的项目：例如人工智能财务跟踪器、简易小游戏生成器以及带有专注计时器的智能待办事项列表。“9元素”公司创始人多伊奇表示：“人工智能极大便利了编程技术的应用。”

　　对许多人来说，氛围编程早已不仅仅是一种爱好。“可爱”软件公司的创始人安东·奥西卡说，已经有投资者报告称，他们正在投资通过他的平台生成的应用程序。

　　不过，无代码平台的用户也遇到了瓶颈。例如，当彼得·克吕克想用“可爱”平台为他的乒乓球俱乐部创建一个网站时。他说：“生成的东西看起来非常不错。”但他想整合的功能越多，就越不满意：“当涉及登录功能和会员区时，不知怎么就不太管用了。”基斯拉特也表示，应用程序越复杂，人工智能就越可能遇到瓶颈。

　　托马斯·扬森拥有计算机科学博士学位，从事软件开发工作已有35年。他创立的克里西菲尔德公司负责测试软件的安全漏洞。他表示：“我认为，炒作的东西超出了人工智能当前的能力。”

　　他分析过人工智能生成的代码：“虽然代码可以运行，但经不起质量测试。”他表示，这些代码通常结构松散且令人难以理解。扬森警告称，这会影响性能：糟糕的代码可能会崩溃并使服务器过载。

　　更糟糕的是：有些无代码项目存在严重的安全漏洞，这些漏洞无意中允许外部人员访问用户数据。扬森表示：“好的代码并不仅仅是把函数串联起来。”

　　代码中的这些漏洞可能很危险。在与开发人员和氛围程序员的交谈中，一位名叫Leo的X平台用户的例子经常被提及。他最初在帖子中兴高采烈地描述了他用无代码平台创建的新应用程序。

　　但这种兴奋很快便消失了。他写道：“伙计们，我受到攻击了。奇怪的事情正在发生：我的API密钥使用已达上限，有人绕过付费机制，在数据库中制造垃圾。”

　　API密钥是访问其他应用程序的程序接口。要是黑客获得了这些密钥，他们就可以通过发送大量请求来滥用服务，从而给应用程序运营商制造高昂的成本。

　　早在2023年5月，德国亥姆霍兹信息安全中心的马里奥·弗里茨就与萨尔兰大学的研究人员一起研究了人工智能生成的代码中可能存在的安全漏洞。作者认为，一个核心问题是用于训练人工智能的代码示例。研究指出：“这些模型的训练数据通常是从互联网上收集的……很可能包含错误和安全漏洞。”

　　研究人员发现了一些典型的漏洞，其中许多至今仍未得到解决。在网上，开发人员仍在提请人们注意典型的人工智能代码问题。弗里茨警告称：“此外，有些攻击者还有可能操纵代码生成。”

　　毕竟，不怀好意的人工智能编程平台提供商可能会故意在其生成的代码中植入漏洞，从而通过用户创建的应用程序攫取数据或植入恶意软件。氛围程序员和没有经验的开发人员很难识别这一点。开发者塞巴斯蒂安·多伊奇表示：“从网络安全的角度来看，存在着极高的风险。”

　　尽管存在种种风险，他和托马斯·扬森仍将人工智能编程视为实现“编程民主化”的机遇。不过，他们认为，任何使用这些工具并希望发布自己创建的应用程序的人都必须仔细检查人工智能生成的内容。多伊奇警告道：“你不能不仔细了解人工智能在做些什么。”如果生成的应用程序要向公众开放，其创建者就必须遵守安全标准。

　　这也有法律上的原因：信息技术法律专家达维德·博姆哈德解释道，如果应用程序出现数据泄露，开发和发布应用程序的人尤其要承担责任。这也适用于氛围程序员。博姆哈德表示：“人工智能应该提供建议和激发灵感，但目前还不能取代专业的质量检测。毕竟，软件开发也需要检查代码是否符合法律要求和安全标准。”

　　卡斯滕·基斯拉特和彼得·克吕克也建议谨慎行事。他们说，氛围编程只适用于初步设计和个人项目，因此先测试一下人工智能也存在的瓶颈吧。（编译/宋羽豪）