朱文雷：AI Secure Coding賦能網(wǎng)絡(luò)安全學(xué)科建設(shè)新路

11月22日，由信息工程大學(xué)、中國科學(xué)院信息工程研究所、北京長亭科技有限公司擔(dān)任召集單位的"國家一流網(wǎng)絡(luò)安全學(xué)院院長分論壇"在河南省鄭州市圓滿舉辦。論壇以"智能時代網(wǎng)絡(luò)安全學(xué)科發(fā)展"為主題，深入探討新一代智能技術(shù)驅(qū)動下的學(xué)科轉(zhuǎn)型與升級。

長亭科技創(chuàng)始人、CEO朱文雷受邀出席論壇，為與會嘉賓帶來了題為《Al Secure Coding：軟件安全學(xué)科演進(jìn)的新方向》的主題報告，立足網(wǎng)安行業(yè)從象牙塔尖走出的創(chuàng)業(yè)成功企業(yè)家獨特視角，從代碼安全與人工智能創(chuàng)新融合的新范式入手，探討了智能時代下的軟件安全學(xué)科建設(shè)演進(jìn)新方向。

從企業(yè)視角審視網(wǎng)絡(luò)安全學(xué)科建設(shè) AI與安全的融合方向是大勢所趨

保障國家網(wǎng)絡(luò)空間安全，筑牢人才根基是關(guān)鍵。作為從清華大學(xué)象牙塔尖走出的網(wǎng)安創(chuàng)業(yè)者、成功企業(yè)家，朱文雷從自身的網(wǎng)絡(luò)安全學(xué)習(xí)經(jīng)歷，以及長亭科技十余年來的創(chuàng)業(yè)發(fā)展歷程出發(fā)，結(jié)合網(wǎng)安產(chǎn)業(yè)一線業(yè)務(wù)工作體會，回顧了過去十年間，網(wǎng)絡(luò)安全學(xué)科建設(shè)在攻防領(lǐng)域的可喜成果，介紹了長亭科技發(fā)端于網(wǎng)絡(luò)攻防實戰(zhàn)“戰(zhàn)場”，持續(xù)擁抱智能安全的發(fā)展歷程。

他表示，回顧過去十年，網(wǎng)絡(luò)安全學(xué)科建設(shè)成功解決了“攻防實戰(zhàn)”的基礎(chǔ)人才問題，培養(yǎng)了大批掌握基礎(chǔ)技術(shù)原理的網(wǎng)安從業(yè)人員。現(xiàn)如今，隨著人工智能技術(shù)的普及，產(chǎn)業(yè)界已然進(jìn)入AI時代，AI與安全的融合方向?qū)⑹谴髣菟叄@昭示著網(wǎng)安學(xué)科建設(shè)領(lǐng)域即將迎來的新變革。當(dāng)前，面對實際業(yè)務(wù)場景下的攻防手段“AI化”， 網(wǎng)絡(luò)安全學(xué)科建設(shè)中的AI類課程比例還有待提高，網(wǎng)絡(luò)安全人才培養(yǎng)需要向AI方向升維。

結(jié)合長亭科技在AI+安全領(lǐng)域的方向布局，朱文雷介紹，當(dāng)前AI與網(wǎng)絡(luò)安全的結(jié)合方向，基本可以歸納為AI賦能安全（AI for Security）和AI自身安全（Security for AI）兩大類。它們是長亭科技正在持續(xù)探索的智能安全領(lǐng)域，也為網(wǎng)絡(luò)安全學(xué)科建設(shè)的AI融合方向提供了立足產(chǎn)業(yè)側(cè)的專業(yè)性參考。

長亭科技創(chuàng)新提出AI Secure Coding 探索AI賦能下的代碼安全新范式

在產(chǎn)業(yè)化應(yīng)用方面，AI Coding可謂是目前最為熱門的AI落地方向之一。朱文雷指出，AI Coding技術(shù)演進(jìn)呈現(xiàn)出“代碼補全”“智能生成”“AI工程師”三代發(fā)展軌跡，每一代都標(biāo)志著生產(chǎn)力的重大飛躍。面向智能時代遺傳性安全缺陷、過度信任危機、速度與安全的失衡、后置檢查代價高昂、代碼來源模糊、空心化技能依賴等多元化軟件開發(fā)風(fēng)險，長亭科技創(chuàng)新提出了AI 時代軟件開發(fā)的新范式——AI Secure Coding。

AI Secure Coding深度融合智能編碼與安全能力，全面覆蓋AI輔助編程及Coding-Agent全自動編程等多種場景的開發(fā)與安全需求，實現(xiàn)“開發(fā)-掃描-修復(fù)”三位一體的全流程智能閉環(huán)。它能夠突破傳統(tǒng)"先編碼后檢測"的局限，通過與企業(yè)代碼倉庫及研發(fā)平臺的無縫對接，為企業(yè)提供集智能代碼生成與補全、全自動AI工程師、智能掃描修復(fù)于一體的安全開發(fā)解決方案，通過"邊寫邊檢"的工作模式，讓安全檢測真正融入到日常開發(fā)流程中，而不再是“亡羊補牢”。

在技術(shù)手段和效果實現(xiàn)方面，朱文雷對比了AI Secure Coding和傳統(tǒng)的DevSecOps。他指出，傳統(tǒng)DevSecOps注重工具鏈與流程規(guī)范，需要人工與自動化緊密結(jié)合，依賴專家編寫規(guī)則、人工修復(fù)漏洞，其成本高昂且難以擴(kuò)展，消耗的是“人”的精力。而AI Secure Coding的核心變革在于引入“安全原生”的理念，以機器學(xué)習(xí)模型為核心，通過訓(xùn)練大量安全代碼庫實現(xiàn)漏洞預(yù)測與修復(fù)建議，代碼生成瞬間即完成加固，無需事后掃描，能夠?qū)崿F(xiàn)對于開發(fā)者的“無感融入”。在資源消耗方面，AI Secure Coding則呈現(xiàn)出“開發(fā)者友好”的特點，以“Token消耗”代替“開發(fā)者精力消耗”，以算力換質(zhì)量，進(jìn)行自我糾錯、自動編寫測試，邊際成本極低。

立足國際視野，朱文雷表示，當(dāng)前，國際代碼安全正從"被動修復(fù)"轉(zhuǎn)向"AI主動防御"。OpenAI、GitHub、Anthropic均在代碼安全相關(guān)領(lǐng)域進(jìn)行了布局，Google Project Zero 正在使用 AI 智能體發(fā)掘開源軟件代碼漏洞并取得顯著成果共識，即“Code Security” 正從單純的外部審計工具，轉(zhuǎn)變?yōu)锳I模型的原生核心能力。這意味著AI Secure Coding的理念正在逐步成為全球技術(shù)風(fēng)向。

構(gòu)建“大模型訓(xùn)練式”網(wǎng)安人才培養(yǎng)思路 擘畫網(wǎng)安學(xué)科建設(shè)與AI時代的未來產(chǎn)業(yè)藍(lán)圖

從網(wǎng)絡(luò)安全學(xué)科建設(shè)角度審視，長亭科技能夠先人一步，抓住AI Secure Coding這一創(chuàng)新性技術(shù)風(fēng)向，離不開長亭科技旗下的專業(yè)人才在高校時期日積月累的技術(shù)知識，離不開長亭科技緊隨國家戰(zhàn)略導(dǎo)向深耕網(wǎng)絡(luò)安全十余年的實戰(zhàn)化經(jīng)驗積淀，亦離不開資本對學(xué)生創(chuàng)業(yè)的大力支持以及對長亭科技技術(shù)能力和發(fā)展前景的寶貴信任。

基于此，朱文雷綜合自身在清華大學(xué)的學(xué)術(shù)研究心得、第三代網(wǎng)絡(luò)安全廠商領(lǐng)軍企業(yè)的一線業(yè)務(wù)經(jīng)驗，以及作為網(wǎng)安行業(yè)成功企業(yè)家的獨特視角，結(jié)合網(wǎng)絡(luò)安全產(chǎn)業(yè)需求對實戰(zhàn)化人才培養(yǎng)的期待，提出了“像訓(xùn)練大模型一樣培養(yǎng)人才”的網(wǎng)絡(luò)安全人才培養(yǎng)進(jìn)階思路。他建議：

在大一大二階段，課程設(shè)置可以融入更多的AI基礎(chǔ)與通識課程，例如AI 提示詞安全工程、AI Coding 前沿實踐、基礎(chǔ)大模型應(yīng)用與倫理等，以AI通識知識+網(wǎng)絡(luò)安全基礎(chǔ)知識筑基，打好理論基礎(chǔ)。

在大三大四階段，課程設(shè)置可以聚焦AI安全實戰(zhàn)，融入AI Secure Coding 實踐、基于 LLM 的代碼漏洞挖掘、SAST、符號執(zhí)行沙箱等進(jìn)階課程內(nèi)容，實現(xiàn)基礎(chǔ)理論的延展教學(xué)。

在研究生階段，課程設(shè)置建議更多地探索前沿技術(shù)研究，例如AI與形式化驗證結(jié)合 、AI 輔助開源代碼治理、智能體開發(fā)安全等。這有利于結(jié)合產(chǎn)業(yè)痛點挖掘高價值的前沿科研課題，在學(xué)科理論研究和產(chǎn)業(yè)化技術(shù)知識應(yīng)用之間架起橋梁，擁抱網(wǎng)絡(luò)安全人才培養(yǎng)的實戰(zhàn)化、體系化、產(chǎn)業(yè)化發(fā)展。

最后，朱文雷還以2025年開源安全獎勵計劃為例，分享了網(wǎng)絡(luò)安全視域下的開源生態(tài)與AI“協(xié)同共舞”方面的展望。

網(wǎng)絡(luò)空間的競爭，歸根結(jié)底是人才競爭。建設(shè)網(wǎng)絡(luò)強國，沒有一支優(yōu)秀的人才隊伍，沒有人才創(chuàng)造力迸發(fā)、活力涌流，是難以成功的。面向智能時代，網(wǎng)絡(luò)安全學(xué)科演進(jìn)和人才培養(yǎng)的機遇與挑戰(zhàn)并存。“我們鼓勵學(xué)術(shù)研究不要止步于‘用AI發(fā)現(xiàn)了一個Bug’，而是去研究‘AI 發(fā)現(xiàn)漏洞的通用模式’。發(fā)表高水平論文，探討如何構(gòu)建更智能的Agent，這正是網(wǎng)安學(xué)院應(yīng)有的科研高度。”朱文雷最后強調(diào)。