导语:论坛以"智能时代网络安全学科发展"为主题,深入探讨新一代智能技术驱动下的学科转型与升级。
11月22日,由信息工程大学、中国科学院信息工程研究所、北京长亭科技有限公司担任召集单位的"国家一流网络安全学院院长分论坛"在河南省郑州市圆满举办。论坛以"智能时代网络安全学科发展"为主题,深入探讨新一代智能技术驱动下的学科转型与升级。
长亭科技创始人、CEO朱文雷受邀出席论坛,为与会嘉宾带来了题为《Al Secure Coding:软件安全学科演进的新方向》的主题报告,立足网安行业从象牙塔尖走出的创业成功企业家独特视角,从代码安全与人工智能创新融合的新范式入手,探讨了智能时代下的软件安全学科建设演进新方向。
从企业视角审视网络安全学科建设
AI与安全的融合方向是大势所趋
保障国家网络空间安全,筑牢人才根基是关键。作为从清华大学象牙塔尖走出的网安创业者、成功企业家,朱文雷从自身的网络安全学习经历,以及长亭科技十余年来的创业发展历程出发,结合网安产业一线业务工作体会,回顾了过去十年间,网络安全学科建设在攻防领域的可喜成果,介绍了长亭科技发端于网络攻防实战“战场”,持续拥抱智能安全的发展历程。
他表示,回顾过去十年,网络安全学科建设成功解决了“攻防实战”的基础人才问题,培养了大批掌握基础技术原理的网安从业人员。现如今,随着人工智能技术的普及,产业界已然进入AI时代,AI与安全的融合方向将是大势所趋,这昭示着网安学科建设领域即将迎来的新变革。当前,面对实际业务场景下的攻防手段“AI化”, 网络安全学科建设中的AI类课程比例还有待提高,网络安全人才培养需要向AI方向升维。
结合长亭科技在AI+安全领域的方向布局,朱文雷介绍,当前AI与网络安全的结合方向,基本可以归纳为AI赋能安全(AI for Security)和AI自身安全(Security for AI)两大类。它们是长亭科技正在持续探索的智能安全领域,也为网络安全学科建设的AI融合方向提供了立足产业侧的专业性参考。
长亭科技创新提出AI Secure Coding
探索AI赋能下的代码安全新范式
在产业化应用方面,AI Coding可谓是目前最为热门的AI落地方向之一。朱文雷指出,AI Coding技术演进呈现出“代码补全”“智能生成”“AI工程师”三代发展轨迹,每一代都标志着生产力的重大飞跃。面向智能时代遗传性安全缺陷、过度信任危机、速度与安全的失衡、后置检查代价高昂、代码来源模糊、空心化技能依赖等多元化软件开发风险,长亭科技创新提出了AI 时代软件开发的新范式——AI Secure Coding。
AI Secure Coding深度融合智能编码与安全能力,全面覆盖AI辅助编程及Coding-Agent全自动编程等多种场景的开发与安全需求,实现“开发-扫描-修复”三位一体的全流程智能闭环。它能够突破传统"先编码后检测"的局限,通过与企业代码仓库及研发平台的无缝对接,为企业提供集智能代码生成与补全、全自动AI工程师、智能扫描修复于一体的安全开发解决方案,通过"边写边检"的工作模式,让安全检测真正融入到日常开发流程中,而不再是“亡羊补牢”。
在技术手段和效果实现方面,朱文雷对比了AI Secure Coding和传统的DevSecOps。他指出,传统DevSecOps注重工具链与流程规范,需要人工与自动化紧密结合,依赖专家编写规则、人工修复漏洞,其成本高昂且难以扩展,消耗的是“人”的精力。而AI Secure Coding的核心变革在于引入“安全原生”的理念,以机器学习模型为核心,通过训练大量安全代码库实现漏洞预测与修复建议,代码生成瞬间即完成加固,无需事后扫描,能够实现对于开发者的“无感融入”。在资源消耗方面,AI Secure Coding则呈现出“开发者友好”的特点,以“Token消耗”代替“开发者精力消耗”,以算力换质量,进行自我纠错、自动编写测试,边际成本极低。
立足国际视野,朱文雷表示,当前,国际代码安全正从"被动修复"转向"AI主动防御"。OpenAI、GitHub、Anthropic均在代码安全相关领域进行了布局,Google Project Zero 正在使用 AI 智能体发掘开源软件代码漏洞并取得显著成果共识,即“Code Security” 正从单纯的外部审计工具,转变为AI模型的原生核心能力。这意味着AI Secure Coding的理念正在逐步成为全球技术风向。
构建“大模型训练式”网安人才培养思路
擘画网安学科建设与AI时代的未来产业蓝图
从网络安全学科建设角度审视,长亭科技能够先人一步,抓住AI Secure Coding这一创新性技术风向,离不开长亭科技旗下的专业人才在高校时期日积月累的技术知识,离不开长亭科技紧随国家战略导向深耕网络安全十余年的实战化经验积淀,亦离不开资本对学生创业的大力支持以及对长亭科技技术能力和发展前景的宝贵信任。
基于此,朱文雷综合自身在清华大学的学术研究心得、第三代网络安全厂商领军企业的一线业务经验,以及作为网安行业成功企业家的独特视角,结合网络安全产业需求对实战化人才培养的期待,提出了“像训练大模型一样培养人才”的网络安全人才培养进阶思路。他建议:
在大一大二阶段,课程设置可以融入更多的AI基础与通识课程,例如AI 提示词安全工程、AI Coding 前沿实践、基础大模型应用与伦理等,以AI通识知识+网络安全基础知识筑基,打好理论基础。
在大三大四阶段,课程设置可以聚焦AI安全实战,融入AI Secure Coding 实践、基于 LLM 的代码漏洞挖掘、SAST、符号执行沙箱等进阶课程内容,实现基础理论的延展教学。
在研究生阶段,课程设置建议更多地探索前沿技术研究,例如AI与形式化验证结合 、AI 辅助开源代码治理、智能体开发安全等。这有利于结合产业痛点挖掘高价值的前沿科研课题,在学科理论研究和产业化技术知识应用之间架起桥梁,拥抱网络安全人才培养的实战化、体系化、产业化发展。
最后,朱文雷还以2025年开源安全奖励计划为例,分享了网络安全视域下的开源生态与AI“协同共舞”方面的展望。
网络空间的竞争,归根结底是人才竞争。建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。面向智能时代,网络安全学科演进和人才培养的机遇与挑战并存。“我们鼓励学术研究不要止步于‘用AI发现了一个Bug’,而是去研究‘AI 发现漏洞的通用模式’。发表高水平论文,探讨如何构建更智能的Agent,这正是网安学院应有的科研高度。”朱文雷最后强调。
如若转载,请注明原文地址
