Secure Code Warrior公司近日发布了SCW Trust Agent: AI治理解决方案，该方案旨在提交代码时可视化、可归因且可强制执行AI对软件开发的影响，使企业能够在使用AI编码工具扩展业务的同时，对软件风险进行可量化的控制。企业可追溯哪些AI模型影响了特定代码提交，将这些影响与漏洞暴露相关联，并在不安全的代码进入生产环境前采取纠正措施。

AI编码工具使用现状与治理挑战

根据Sonar《2026年代码开发者现状调查报告》，72%的开发者表示每天都在开发过程中使用AI编码工具。然而随着开发速度加快，大多数企业缺乏对这些工具如何影响生产代码的可见性，形成了治理盲区。Gartner预测，到今年年底，至少80%的未经授权AI交易将源于内部政策违规而非恶意攻击，这凸显了开发环境中可执行监管的必要性。

SCW Trust Agent: AI的核心功能

Secure Code Warrior通过SCW Trust Agent: AI重新定义AI软件治理。该平台将提交级别的可见性和可执行监管嵌入开发工作流，使企业能够在扩展AI驱动开发的同时，对软件风险实施可量化控制，并强化人类和AI生成代码的安全编码行为。

Secure Code Warrior首席执行官Pieter Danhieux表示："SCW Trust Agent: AI为企业提供了量化途径，可有效衡量AI时代开发环境的风险状况，无论贡献者是开发人员还是AI。"

"从AI生成编码、MCP和AI工具使用的全面可观测性和可追溯性入手，SCW Trust Agent: AI为更有效、适应性更强的学习奠定了基础，能够精准聚焦最相关领域，从根本上改变开发团队的行为模式，逐步抵消AI引入的漏洞风险。"Danhieux补充道。

五大核心治理能力

SCW Trust Agent: AI通过以下功能实现从被动可视到主动运营治理的跨越：

• AI使用可视化：维护可验证的记录，显示哪些LLM（包括授权和"影子AI"模型）影响了特定提交，在不存储源代码或提示的情况下满足治理和审计要求。

• 专有LLM安全基准测试：利用Secure Code Warrior的LLM安全基准数据评估模型，并根据可衡量的安全性能执行批准的AI使用政策。

• MCP发现与供应链洞察：跟踪已安装和活跃的模型上下文协议(MCP)服务器，防止AI代理通过未经审查或存在风险的连接访问敏感的内部工具或数据库。

• 提交级风险关联与执行：将开发人员的技能组合（通过SCW信任评分衡量）及其AI使用情况与漏洞基准相关联以识别风险级别，并在代码进入生产环境前执行策略。

• 自适应学习：通过关联AI生成的代码和贡献者的安全编码技能来降低风险，自动为开发人员提供最相关的培训，培养安全编码能力。

参考来源：

SCW Trust Agent: AI tracks AI influence in code to reduce software risk

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）