如今,Cursor、Claude Code等AI辅助编程工具,正以前所未有的速度重塑软件开发(881272)流程。大模型与智能体嵌入集成开发环境后,可用于代码生成、补全、解析、优化、重构以及漏洞检测与修复等场景,研发效率大幅提升,开发周期(883436)显著缩短,“对话即编程”的人机协同模式已成为研发新常态。
然而,效率提升的另一面,是风险的集中暴露。代码原生漏洞、研发数据泄露、模型指令劫持等安全威胁层出不穷,贯穿需求、设计、编码、测试、交付、运维等软件开发(881272)全流程。与此同时,《生成式人工智能(885728)服务管理暂行办法》《生成式人工智能(885728)服务安全基本要求》等政策标准落地,合规监管持续趋严。
如何兼顾效率、安全与合规
已成为AI编程研发的核心议题
更是软件开发行业高质量发展的必然要求
天融信大模型安全网关
搭建AI编程研发全链路安全防护体系
天融信(002212)深度贴合企业AI编程研发全场景需求,以政策标准为导向,大模型安全网关(TopLMG)整合代码安全防护、数据防泄漏、全域防御三大核心能力,在不损耗研发效率的前提下,凭借全链路防护与精准检测等优势,全方位补齐安全短板,助力企业AI研发实现高效创新、安全可控、合规运营。
溯源筑基,保护代码和供应链安全
大模型依托海量开源数据训练,生成的代码本身存在安全缺陷,SQL注入、跨站脚本、命令注入等高危漏洞频发,函数调用不当、权限校验缺失等编码问题屡见不鲜。研发人员为追求效率直接复用AI产出代码,跳过安全审计环节,导致带漏洞代码直接投产上线。此外,AI编程所用的开源组件、第三方框架暗藏供应链漏洞,可通过依赖链路形成链式攻击,进一步扩大安全事件影响范围。
方案
TopLMG全面适配主流编程语言,依托三重检测机制与动态更新的漏洞特征库,精准识别代码缺陷和开源组件风险。同时,创新采用流式数据动态拼接检测技术,补齐大模型分段输出的检测短板,实现代码前置全量审计,从源头拦截漏洞上线,让每一行AI生成的代码都经得起“安检”,有效规避系统入侵、数据篡改、业务停摆等安全事件。
严防死守,杜绝核心研发数据外泄
研发人员使用AI编程工具时,常会上传核心代码、研发方案、数据库密码、API密钥等涉密资产。如果缺乏配套防护措施,敏感数据将在大模型平台留存、外泄或被非法调用。更棘手的是,大模型流式分段输出的特性,会将敏感信息拆分隐藏在数据流中,或将账号、密钥等写入代码注释,形成难以察觉的常态化泄密渠道,威胁企业核心商业资产安全。
方案
TopLMG搭建敏感数据防泄漏体系,依靠专属特征库精准识别账号密钥、核心代码等涉密信息,支持自定义脱敏规则,灵活适配不同部门差异化涉密分级管理要求。同时,实时拦截敏感数据违规外发行为,并自动清除代码、数据流中隐藏的隐私内容,全面防范隐蔽泄密风险。
全域共治,构建综合安全管控体系
企业AI编程场景日趋复杂,多模型并行接入、跨网络流量交织、API接口数量激增,非法爬取、越权调用、数据窃取、模型投毒等网络攻击频发。单点防护无法应对复合型风险,且行为审计缺失,导致异常调用难以溯源,安全响应严重滞后。
方案
TopLMG支持公网、自建大模型等多场景无感部署,无需改造现有网络,即可实现流量、策略、行为的统一管控与审计。同时,集成API防护、访问控制、DDoS防御、入侵防御等多元功能,构建覆盖模型、应用、网络的多层立体防御体系,一站式抵御各类复合型安全风险。
今年4月28日,在国务院政策例行吹风会上,工信部正式提出开展“人工智能(885728)+软件”专项行动,加快智能编程研发应用,培育模型即服务、智能体即服务等相关新业态;推动基础软件、工业软件智能化升级。
AI赋能研发已成为产业发展大势,而安全是数字化创新的核心根基。天融信(002212)将安全能力深度嵌入AI开发全流程,贯穿需求分析、开发实施、运维优化各阶段,为AI技术在软件开发(881272)领域规范化、规模化应用筑牢安全屏障。
