研究详细阐述了AI与人类代理在SDLC各个阶段的协同作用。例如,在规划与需求阶段,AI可以利用预测分析识别潜在风险,而人类代理则提供项目范围和具体漏洞的上下文知识,双方协作制定有针对性的安全计划。在设计阶段,AI可以基于历史漏洞数据推荐安全架构模式,人类则根据业务目标和项目特殊性进行调整与最终决策。在编码阶段,AI可自动化执行静态和动态代码分析以识别漏洞,并建议自动修复,而人类则负责审查这些修复的正确性和适用性。在测试阶段,AI能够自动化进行漏洞扫描和渗透测试,模拟各种攻击,而人类则评估结果并基于复杂情境进行优先级排序和深度调查。在部署阶段,AI可自动应用安全补丁并监控配置,人类则负责验证补丁的兼容性并在复杂事件发生时做出战略决策。在维护阶段,AI持续学习并改进威胁检测,而人类则监督和调整AI模型,确保其适应新出现的威胁。为了直观展示这种协作,研究提出了“人类能动性-AI安全软件开发生命周期”框架(Human Agentic-AI Secure Software Development Lifecycle, HAI-SSDLC),该框架将人类决策与AI的预测及大规模数据处理能力相结合,旨在在整个SDLC(分析、设计、开发、测试、部署运营和支持)中实现变革性的网络安全。
4.2. 软件开发专业人员对通过AI技术增强SDLC网络安全的看法
研究通过调查发现,软件开发专业人员对使用AI工具增强SDLC网络安全持积极态度。他们认为AI在自动检测、发现复杂模式以及持续监控以降低人为错误方面具有重要作用。然而,也存在对过度依赖AI的担忧,包括数据可靠性、模型透明度和自动化决策的可解释性问题。专家们强调,AI应作为人类技能的补充层,而非完全替代。成功的实施需要开发者、数据科学家和网络安全专家之间的合作。对调查数据的统计分析进一步表明,在SDLC的不同阶段,专业人士对AI和人类效能感知存在显著差异。例如,在需求收集和部署阶段,人类代理被认为比AI更有效;而在实施阶段,AI被认为比人类更有效;在设计阶段,二者被认为同等有效。总体而言,人类代理的平均感知效能(50.83%)高于AI(37.5%),且AI的感知在不同阶段变化更大(标准差AI≈8.52 vs. 人类≈6.72)。这突显了人类经验、情境理解和决策判断在SDLC安全中的核心价值,也指出了AI在自动化特定任务方面的优势。
