FossID AB推出了Agentic SCA,這是一個即時合規層,用於軟體組成分析,試圖跟上AI生成程式碼的步伐。該工具承諾「智慧型高速軟體稽核」,因為生成式AI正在加速從授權和安全來源不明的零碎資源中組裝軟體。FossID的做法承認了業界許多人正在默默面對的問題:當程式碼以AI速度編寫和修改時,傳統的合規工作流程就會崩潰。
這次發布突顯了我一直在關注的根本性緊張關係。正如我在撰寫EU AI Act執行挑戰時所提到的,代理式AI系統創造了治理黑洞,傳統監督機制根本無法跟上。FossID的解決方案試圖透過即時自動化合規檢查來彌合這一差距,但它解決的是症狀,而非根本問題。當AI代理能夠比人類稽核速度更快地生成、修改和整合程式碼時,我們本質上是在永久地玩合規追趕遊戲。
更廣泛的網路安全背景使這變得更加緊迫。業界消息顯示,安全領域的代理式AI能夠「收集脈絡、確定下一步、使用連接的工具並執行任務」,只需最少的人工監督。這種自主能力正是使即時合規既必要又不足的原因。FossID的工具可能會快速標記授權問題和安全漏洞,但它無法解決根本問題:如何治理運行速度超過治理機制功能的系統?
對於使用AI程式碼生成工具建構的開發者來說,這代表了一個實際的十字路口。你要麼減慢AI輔助開發速度以維持合規監督,要麼接受你的合規態勢將始終落後於你的開發速度。FossID的工具提供了一條中間道路,但值得質疑的是,即時自動化合規是否足夠,或者我們是否需要完全重新思考如何建構AI輔助開發工作流程。