FossID AB推出了Agentic SCA,这是一个实时合规层,用于软件成分分析,试图跟上AI生成代码的步伐。该工具承诺"智能、高速软件审计",因为生成式AI正在加速从许可和安全来源不明的零碎资源中组装软件。FossID的方法承认了行业内许多人正在默默应对的问题:当代码以AI速度编写和修改时,传统的合规工作流程就会崩溃。
这次发布凸显了我一直在关注的根本性紧张关系。正如我在写EU AI Act执行挑战时所提到的,智能体AI系统创造了治理黑洞,传统监督机制根本无法跟上。FossID的解决方案试图通过实时自动化合规检查来弥合这一差距,但它解决的是症状,而不是根本问题。当AI智能体能够比人类审计速度更快地生成、修改和整合代码时,我们本质上是在永久地玩合规追赶游戏。
更广泛的网络安全背景使这变得更加紧迫。行业消息显示,安全领域的智能体AI能够"收集上下文、确定下一步、使用连接的工具并执行任务",只需最少的人工监督。这种自主能力正是使实时合规既必要又不足的原因。FossID的工具可能会快速标记许可问题和安全漏洞,但它无法解决根本问题:如何治理运行速度超过治理机制功能的系统?
对于使用AI代码生成工具构建的开发者来说,这代表了一个实际的十字路口。你要么减慢AI辅助开发速度以保持合规监督,要么接受你的合规姿态将始终落后于你的开发速度。FossID的工具提供了一条中间道路,但值得质疑的是,实时自动化合规是否足够,或者我们是否需要完全重新思考如何构建AI辅助开发工作流程。