报告行业投资评级 报告未提供行业投资评级。[4] 报告的核心观点 1) 近年来,大型语言模型(LLM)和其他AI系统生成计算机代码的能力有所提高。这为软件开发领域带来了希望,但同时也可能带来直接和间接的网络安全风险。[2] 2) 研究表明,在实验条件下,AI代码生成模型经常输出不安全的代码。评估AI生成代码的安全性是一个非常复杂的过程,包含许多相互依赖的变量。[3] 3) 行业采用AI代码生成模型可能会对软件供应链安全构成风险,但这些风险在不同组织之间分布不均。资源充足的大型组织将比面临成本和人力约束的组织有优势。[5] 4) 确保AI生成代码的安全不应该仅仅依赖于个人用户,也需要AI开发者、大规模生产代码的组织以及政策制定机构等多方利益相关方共同承担责任。[6][7] 5) 目前很难评估代码生成模型的安全性,因为现有的评估基准通常关注模型生成功能性代码的能力,而不评估它们生成安全代码的能力,这可能会导致在模型训练过程中安全性被忽视。[8]