根據GitLab發布的一篇新博客文章，人工智能正在迅速改變軟件漏洞的檢測方式，但關于誰應該負責管理人工智能所帶來的風險，以及這些風險應該如何得到應對的問題，正變得越來越緊迫。雖然諸如靜態掃描工具和生成模型這類人工智能工具能夠比傳統工具更快地識別出潛在的安全問題并提出相應的修復方案，但該文章指出，僅僅依靠檢測本身并不能解決風險管理中的所有問題，因此開發人員和安全團隊需要重新思考現代軟件開發生命周期中的治理機制、責任劃分以及執行流程。

這篇文章指出了隨著諸如能夠發現漏洞并提出補救措施的人工智能工具的出現，整個行業的心態正在發生轉變。雖然這些創新體現了人工智能在加速漏洞檢測方面的價值，但GitLab的文章強調，僅僅識別出問題并不意味著風險就已經得到了有效控制。企業安全領域的負責人越來越關注這樣一個問題：這些漏洞是否真的被及時分類、確定優先級并得到修復，而且這些決策是否由明確的責任方來執行。如果團隊缺乏相應的政策指導、風險評估機制以及治理結構，那么僅僅生成更多的檢測結果反而可能會造成混亂，因為它們無法幫助人們判斷哪些問題必須在軟件發布前得到解決，哪些問題可以暫時擱置。

為了解決這些問題，GitLab建議將基于人工智能的檢測技術納入一個更完善的、以政策為導向的DevSecOps框架之中。它提出的最佳實踐包括：在組織層面明確風險容忍度；根據漏洞的嚴重程度、被利用的可能性或合規性要求來設置合并和部署審批流程；在接受風險時確保有可審計的審批流程；以及隨著代碼、依賴關系以及威脅情報的變化，持續重新評估這些風險。文章強調，在從代碼編寫到測試、再到最終發布的整個軟件生命周期中，實現信息的全面透明至關重要，這樣人工智能檢測結果才能根據資產的重要性和運行時的風險狀況來得到恰當的處理。在這種模式下，人工智能會成為促進安全開發的強大工具，但只有通過平臺級的控制措施、審計機制以及可量化的政策執行機制，才能真正將檢測結果轉化為負責任且基于風險意識的決策。

在整個行業范圍內，許多機構都在遵循類似的原則來管理人工智能帶來的風險，它們強調檢測能力必須與結構化的監管機制及責任體系相結合。美國國家標準與技術研究院通過其被廣泛采用的《人工智能風險管理框架》，建議采取以治理、風險識別、風險評估以及持續管理為核心的全生命周期管理方法。關鍵的做法包括明確各項責任分工、保留審計記錄、根據公平性與安全性標準對模型進行驗證，以及將人工智能風險納入更廣泛的企業風險管理體系中，而非將其視為一個獨立的技術問題。這些建議與GitLab的觀點高度一致——只有當人工智能相關措施被融入到可執行的治理流程和部署控制機制中時，它們才能真正發揮作用。

科技公司以及各種行業框架也都秉持這種“治理優先”的理念。例如，微軟建立了正式的負責任人工智能治理結構，包括內部審核委員會、針對高風險系統的審批流程，以及對可能存在偏見或不安全輸出的持續監控機制。同時，IBM也強調透明度、可解釋性及責任感是建立信任的基礎。國際標準如ISO/IEC 42001，以及歐盟《人工智能法案》中規定的監管要求，也都倡導進行持續審計、提高對人工智能應用情況的透明度，并制定能夠隨著模型在實際應用中的發展而不斷調整的控制措施。綜上所述，一個明確的共識正在形成：有效的人工智能治理機制，其關鍵不在于檢測工具的先進程度，而在于包括監控、人工審核、可量化的風險閾值，以及在整個人工智能生命周期中持續進行的合規性驗證在內的各種操作實踐。