AI更新
DryRun Security 报告:AI 编程 Agent 正在重复十年前的安全漏洞
DryRun Security 最新报告揭示,AI 编程 Agent 在真实开发团队中编写的代码存在高频安全漏洞,且漏洞类型与十年前人类常犯的错误惊人一致。对 AI 编程出海团队是重要警示。
2026年3月13日
2 分钟阅读
来源:DryRun Security / XDryRun Security 报告:AI 编程 Agent 正在重复十年前的安全漏洞
AI更新
核心发现
DryRun Security 发布最新报告,对多个主流 AI 编程 Agent(包括 Cursor、Claude Code、Copilot 等生态中的工具)进行了安全审计。
关键结论:AI 编程 Agent 在真实团队中编写的生产代码,引入安全漏洞的频率远高于预期,而且这些漏洞的类型让安全研究人员感到"似曾相识"——它们与 10 年前人类开发者常犯的安全错误惊人一致。
常见漏洞类型
报告中提到的高频问题包括:
- SQL 注入(未参数化查询)
- XSS 跨站脚本
- 硬编码密钥和凭证
- 不安全的反序列化
- 缺少输入验证
为什么 AI 会犯"老错误"?
- 训练数据偏差:模型训练语料中包含大量早期 StackOverflow 答案和旧代码库,这些代码本身就存在安全问题