不少企业看到生成式AI在资料整理、告警解释、检索比对上的强项,就想把它搬进资安作业流程:把海量Log快速归类、把复杂告警做筛选,甚至导入AI Agent辅助资安人员缓解人力不足。根据相关调查,确实有不少主管倾向认为AI能让资安更“省人”。
但资安顾问指出,AI能让事情“更快”,却不代表关键问题会“更清楚”。企业在追DevSecOps成效不彰时,常掉入一类共同的反模式:安全责任被往前推,却没有相应能力与规则支撑;工具堆得更满,却没人真正用它做决策。
第一,很多组织做“安全左移”时,只把责任与培训丢给开发团队,然而面对持续演进的威胁与新型风险,开发人员并不一定具备判断与处置的能力。风险变得更复杂、漏洞修补节奏更快,结果就是流程看似更安全,但实际行动跟不上。
第二,也有企业急着投资各种扫描工具,从SAST、SCA、IaC检测到容器镜像与SBOM监测,数据被收集得很完整,却缺少有效分析与治理机制。最后往往只是把报表与日志“存起来”,没有形成可执行的策略与闭环。
第三,测试到部署之间的安全闸门常卡住。部分团队只接受小幅变更,遇到重大变更就交由主管“特签放行”,并把它当成例外而非风险判断。时间久了,例外与特签让责任边界更模糊,后续追踪也更困难。
第四,上云后IaC让运维程式化,问题却集中在交集地带:开发、运维与资安从不同视角解释同一件事,缺乏谁来承接整体安全结果的责任归属。到头来,没人真正对系统的整体风险负责。
因此,虽然生成式AI能协助解释告警、汇总SBOM/SAST并提出修补建议,甚至自动生成PR与IaC修正,但它无法替企业建立治理实践:无法定义责任边界、无法制定风险接受标准、无法管理例外与特签机制、也无法完成治理与追踪。AI可以给建议与方向,但最终的“能不能放行、后果由谁承担、如何追踪执行”仍必须由企业自己面对并落地。
建议企业从“把安全机制塞进流程”转向“让安全成为日常运作的一部分”:让能承接责任的人真正参与决策,让风险被理解而非被分类,让控管变成可追踪的决策过程,而不是一次性处理。
