一项最新研究显示,在软件依赖升级决策中直接采纳AI模型的建议,可能带来不小风险。
在软件开发中,“依赖”通常是指程序运行所需的外部库或软件包。随着生成式AI被越来越多地用于开发辅助,模型给出的依赖升级建议是否可靠,也成为业界关注的焦点。
据Dark Reading当地时间26日报道,DevSecOps公司Sonatype于2025年6月至8月期间,分析了Maven Central、npm、PyPI和NuGet四大软件包仓库中的3.687万条依赖升级建议,并对Anthropic、OpenAI、Google等公司7款AI模型生成的25.8万条依赖升级建议进行了核查。
Sonatype今年2月公布的第一阶段研究显示,在OpenAI GPT-5给出的依赖升级建议中,近28%被确认为“幻觉”。也就是说,这些建议指向的版本号或升级路径在实际中并不存在。
在本周公布的第二阶段研究中,Sonatype将重点放在推理能力更强的新一代模型上,包括GPT-5.2、Anthropic Claude Sonnet 3.7、Claude Sonnet 4.5、Claude Opus 4.6,以及Google Gemini 2.5 Pro和3 Pro。研究认为,这些模型相比此前版本虽有所改进,但幻觉和错误建议仍然频繁出现。
Sonatype指出,这类错误不仅会增加AI调用成本、浪费开发者时间,还可能导致安全漏洞长期得不到修复,并在代码进入生产环境前持续累积技术债务。
Sonatype认为,问题的症结不在模型推理能力本身,而在于缺乏实时数据支撑。该公司表示,AI模型并不掌握作出安全补丁决策所需的实时依赖信息、漏洞信息、兼容性数据以及企业内部政策。
Sonatype联合创始人兼CTO Brian Fox表示,最危险的情况并不是模型给出明显错误的答案,而是给出“表面上看似合理,实则暗藏风险,还可能错过更优升级路径”的建议。
Chi-gyu Hwang
delight@d-today.co.kr