Harness Engineering 的防御视角：从 Codex Security 看 AI 生成代码的治理

最近，我们利用Codex Security的安全扫描工具，对一系列开源项目进行了深度分析。这份报告有点特别——它不仅仅是一份漏洞清单，更像是一次完整的自动化安全审计。报告里清晰地展示了完整的攻击路径、动态验证结果，甚至附上了可直接应用的修复补丁。这为我们理解AI时代的代码安全，提供了一个难得的观察窗口。

有意思的是，这些被扫描的项目大多并非专门的“AI系统”，它们只是普通的应用程序，只不过其中一部分代码由AI辅助生成。这个细节至关重要，因为它揭示了问题的本质：AI并没有创造出一种全新的软件类型，也没有发明什么前所未有的漏洞类别。最终运行在服务器上的，依然是那个我们熟悉的、由API、前端、数据库和外部请求构成的普通应用。

真正改变的，是代码的生产方式。当代码的生成成本急剧下降，产量便会飙升。如果工程体系缺乏相应的约束机制，这种增长往往会同步放大缺陷的传播速度。所以，问题的核心或许不在于“AI安全”本身，而在于我们如何治理大规模自动生成的代码。这正是Harness Engineering从防御视角出发，所展现出的独特价值。

AI并未发明漏洞，只是放大了缺陷

单从漏洞类型来看，Codex Security的扫描结果并无太多新奇之处。最常见的依然是那些存在了几十年的经典安全问题：未认证的API、命令注入、SSRF、未净化的HTML渲染以及权限绕过。换句话说，我们面对的仍然是那些“老对手”。

真正改变的，是缺陷的扩散机制。

在传统的开发模式中，一个不严谨的实现可能源于某位开发者的疏忽或经验不足。代码审查、测试流程以及团队的经验传承，通常能在一定程度上遏制这类问题的蔓延。然而，在AI辅助开发的场景下，一旦模型生成了一种“看起来合理”的实现模式，这种模式就可能在多个模块、多个文件，甚至多个代码仓库中被反复复制。模型无法自动理解团队设定的安全边界，它只会忠实地复现训练数据中常见的编码模式。因此，如果系统缺乏明确的工程约束，错误的实现方式就可能被系统性地大规模复制。

从软件工程的视角看，AI更像一个缺陷放大器。过去偶尔出现的错误模式，如今可能在极短时间内被复制几十次、上百次。这也解释了为何在AI时代，仅仅依赖人工代码审查，已经难以维持原有的安全水平。代码的生成速度越快，对它的约束就必须越自动化、越前置。

Codex Security的实现思路：从静态检查到自动化审计

Codex Security的扫描流程，恰恰体现了这种工程化的治理思路。

工具并非只扫描代码库的某个静态快照，而是沿着Git提交历史进行渐进式分析。每一个被发现的问题，都能追溯到具体的提交记录、作者以及引入时间。这意味着，安全漏洞不再只是一个孤立的静态问题，而是一个可以被精确定位到“何时进入系统”的变更事件。这种分析与持续交付的开发流程高度契合，因为安全问题往往正是在这些细微的代码修改中被悄然引入的。

在代码分析层面，扫描结合了静态分析与数据流追踪。分析过程从典型的输入源（如HTTP请求参数、RPC调用或URL查询字符串）开始，沿着代码路径追踪数据的传播轨迹，直至抵达危险操作点（例如shell命令执行、HTML渲染或外部网络请求）。通过这种方式，工具不仅能发现某个危险函数被调用，更能理解外部输入是如何一步步流转到最终的执行点，从而还原出完整的攻击路径。

在识别出潜在漏洞后，系统还会尝试在沙箱环境中模拟攻击场景进行动态验证。扫描器会生成概念验证代码并尝试触发攻击路径，比如执行命令注入或访问内部服务。如果验证成功，报告便会标记该漏洞为“可实际利用”，这极大地降低了误报率。最后，每个发现的问题都会附带一份可直接应用的修复补丁，例如为接口增加认证、替换危险函数调用或移除高风险配置。这样的输出方式，让扫描结果不仅能指出问题，更能直接推动修复落地。

新的风险模式：AI范式带来的独特挑战

在分析扫描结果时，我们还观察到一类新的风险模式。这些问题并非传统应用中的典型漏洞，而是与AI开发工具的行为模式直接相关。例如，在多个项目中都出现了类似的配置片段：

--dangerously-skip-permissions
--allow-all-tools
bypassPermissions: true

这类参数通常出现在AI Agent或命令行工具的启动配置中，初衷往往是为了降低交互成本，让Agent能够自动调用各种工具。在本地开发环境中，这可能只是一个便利选项。但一旦代码被部署到生产服务器，这类参数就可能绕过所有权限确认机制，使得系统能够在无需用户干预的情况下执行高风险操作。

这种风险与传统漏洞的根本区别在于，它并非某一段具体代码的逻辑错误，而是工具行为与系统运行环境之间的严重不匹配。AI模型可能会生成这些参数，因为它们在训练数据或某些示例中是合法的；但在真实的系统环境中，它们意味着权限控制这道防线被彻底绕过。

因此，AI时代的安全扫描开始衍生出新的方向：不仅需要检查代码中的危险调用，还需要识别AI工具的危险使用模式。这些模式往往隐藏在配置文件、命令行参数或复杂的工具调用链中，如果没有专门的检测规则，很容易被传统的安全扫描所忽略。

Harness Engineering的防御意义：将安全内建于架构

从这个角度看，Harness Engineering不仅仅是一套提升AI编程效率的工程实践，它本身就是一种防御性架构。

其核心思想在于，将系统的结构、规则和边界明确地表达出来，使得AI能够理解并遵守这些约束。在防御视角下，这具体意味着两件事：首先，将危险的操作能力收敛到少数受控的接口中，例如统一的外部请求客户端、安全的HTML渲染器或受严格限制的命令执行层。其次，系统需要具备自动化的检查机制，确保在代码合入主干之前，就能识别出高风险的模式。

当这些机制就位后，无论代码是由人类编写还是由AI生成，都必须经过同一套工程约束的检验。系统不再完全依赖于开发者记住每一条安全规则，而是通过架构设计本身，从根本上减少误用的可能性。

这种方式的优势显而易见：它并不试图判断代码的作者是谁，而是聚焦于代码本身是否违反了工程系统设定的安全边界。

从扫描到治理：工程系统的进化

将这些观察结合起来，一个更清晰的结论便浮现出来。AI时代的软件安全问题，根源并非AI本身不安全，而是因为代码的生成速度已经超越了传统治理方式的承载极限。手动审查、零散的规范文档和依赖个人经验的判断，很难在代码高吞吐的生产环境中维持同样的安全效能。

因此，工具化的安全扫描不再仅仅是安全团队的辅助工具，它正逐渐演变为工程系统不可或缺的一部分。其角色类似于自动化测试或持续集成检查：在代码进入主干之前，自动拦截那些已知的危险模式。通过这种方式，团队得以将安全约束从“需要开发者牢记的规则”，转变为“由工程系统自动执行的策略”。

在这种模式下，Harness Engineering的意义变得更加清晰。它不仅帮助AI更好地理解系统，也帮助系统更好地约束由AI和人类共同生成的代码。安全不再过度依赖代码作者的个人经验，而是由工具和架构共同提供保障。

软件工程系统的下一步

从Codex Security的扫描分析中获得的最大启发，并非AI让软件变得更危险，而是AI让工程系统中长期存在的治理问题变得更加突出和紧迫。当代码生成能力大幅提升时，工程系统必须具备更强的自动化防御能力，否则缺陷只会以更快的速度涌入代码库。

在这个意义上，AI时代的软件工程并非一个全新的领域。它只是将一个老问题推向了新的规模：当代码量急剧膨胀时，我们如何确保系统依然能维持清晰的边界与有效的约束。

Harness Engineering所提供的答案，并不是让AI变得更聪明，而是让软件工程系统本身变得更加强壮和自律。