AI编程时代的运行时测试：安全团队面临新挑战

随着AI技术推动软件产量激增，安全团队正承受着越来越大的压力，必须通过运行时测试来捕捉运行应用程序中的风险。StackHawk公司董事会成员Joe Sullivan（左图）指出，当机器生成代码量在现代企业中呈爆炸式增长时，安全团队发现静态代码分析已不再足够，这凸显出建立动态防护机制的迫切需求——在应用程序运行时提供保护。

"AI带来的挑战在于，即便你允许AI进入系统，仍需密切关注它的行为，"Sullivan表示，"这就像家里有个学步儿童，你可以让他自由活动，但必须有人时刻看护。"

在RSAC 2026大会上，Sullivan与StackHawk创始人兼首席执行官Joni Klippert（右图）接受了theCUBE主持人Dave Vellante的专访，探讨了AI对软件工程的影响以及首席信息安全官角色的演变。

AI驱动世界中的运行时测试环境安全

当企业采用机器间相互驱动的Agentic工作流时，相关安全风险也成比例增加。Sullivan指出，如果安全团队依赖无法区分可触及与不可触及漏洞的传统静态工具，这种产量提升往往会导致"创新瓶颈"。

"2026年，攻击者都在积极采用AI技术，而且他们不需要通过治理委员会审批就能启用，"Sullivan说，"而防御方则需要遵循流程——我们必须管理风险。即使安全团队希望部署最前沿的AI解决方案，也必须先进行测试。"

运行时测试的防护价值

运行时测试通过识别应用程序运行时的可利用风险（而非仅扫描静态代码）提供额外保护层。Klippert解释说，StackHawk的扫描器HawkScan采用代码化配置，可在开发者本地机器或持续集成/持续交付(CI/CD)流水线中运行。但要实现广泛采用，这类工具还需无缝集成到开发工作流中而不增加复杂性。

"我们必须融入软件工程师的工具链，并保持极低的使用门槛，"Klippert表示，"因为当他们发现'我刚刚引入了一个新漏洞'时，就会立即修复。开发者希望编写优质代码，但并不想成为安全工程师。"

Klippert认为，解决方案不是增加工单或事后审查，而是与现代软件交付流程并行的安全工具。随着AI助手加速代码生成，企业需要将可移植的自动化运行时测试和发现机制内置到开发工作流中，防止漏洞堆积。

"创业之初，我们讨论的比例是1名应用安全专业人员对应100名软件工程师，"她解释道，"现在这100名工程师至少变成了1000名。这是我们必须投入资源的专业领域。"