在这个场景里,Secure Code Warrior给开发者推出了一款叫Trust Agent: AI的全新AI软件治理方案,它能让企业在给代码加上AI的威力时,也能把安全和可扩展性这块搞明白。这个方案能让AI生成的代码在提交的时候就变得可视化,然后在进生产环境前就把策略约束上了,最后还能把实际的开发行为跟降低风险的效果给连起来。今天他们宣布了这个消息,说这是业内第一个能让企业把AI在开发中的影响看得清、弄得明、管得住的方案。只要代码一提交,企业就能清楚知道是哪个AI模型在后面捣鬼,还能把这影响跟潜在漏洞联系起来看。这样一来,那些不安全的代码在跑到生产环境之前就会被发现并处理掉。现在AI驱动的开发已经不是在玩票了,而是天天都在用。Sonar做了个《2026年代码开发者现状调查》,发现有72%的人说他们每天都在用AI编程工具帮忙干活。不过好多企业还是看不见这些工具到底对生产代码有啥实际作用,效率是高了,可管理上的盲区也跟着出来了。 Gartner那边也预测说,到今年年底的时候,起码有80%的没授权的AI活动都是公司内部政策没管好弄出来的,不是别人恶意攻击干的。这就更说明在开发环境里搞一套能执行的治理规则和加强监督有多重要。Secure Code Warrior现在就用这个Trust Agent: AI把行业里AI软件治理的标杆给立起来了。 这个平台把提交时的细节都给看明白了,再把能执行的治理机制插进到开发流程里。这样企业在推着AI驱动开发往大了搞的同时,就能把软件风险给量化着管起来。从人类写的代码到AI造的代码,全生命周期都得按规矩走。 他们的联合创始人兼CEO Pieter Danhieux说了:“Trust Agent: AI给企业铺了一条能算钱的路,让他们在AI时代也能评估一下自己环境到底有多危险——不管代码是活人写的还是AI写的。”通过把AI生成的代码、MCP还有用的AI工具有没监控透、记录好、追溯清,“Trust Agent: AI”就能为更高效、能自己长脑子的学习系统打下基础,让企业能精准找出风险大的地方,从根子上改变团队的做法,从而把AI带来的漏洞隐患给慢慢化解掉。 “Trust Agent: AI”靠打通这几个核心能力来帮企业从只能被动地看变成能主动去管: 1. 搞明白大家是怎么用AI的:建一个能核对的账本,清清楚楚写着哪个大语言模型(LLM)——不管是批准了的还是“影子 AI”模型——对提交的哪部分代码起了作用; 2. 评估专有LLM的安全基准:用Secure Code Warrior家的LLM安全基准数据给模型打分,然后照着分数去管人家怎么用; 3. 找MCP和看供应链:盯着那些装了又在干活的模型上下文协议(MCP)服务器,防着AI代理用不靠谱的连接去碰敏感内部工具或数据库; 4. 看提交风险和执行策略:把开发者的技能水平(用SCW Trust Score®来算)跟他们用AI的情况还有漏洞标准比一比,分个风险高低,在代码进生产环境前就把该做的策略给办了; 5. 能适应的学习模式:把AI写的代码跟贡献者的安全水平挂上钩,自动给开发者发最适合的培训内容。 Secure Code Warrior是做AI软件治理和提升开发者安全能力的领头羊。他们要帮企业在整个软件开发生命周期(SDLC)里把AI驱动开发给管起来。这家公司靠着在安全编码培训领域摸爬滚打了十几年攒下的家底,提供了包括AI可视化、策略执行和实际练习在内的全套方案。他们想让企业在代码进生产之前就把漏洞给堵上、质量提上去。