GitLab 18.11 扩展 Agentic AI 至安全修复和 CI 流水线

执行摘要

GitLab 发布了其 DevSecOps 平台 18.11 版本，显著扩展了代理人工智能在自动化安全漏洞修复、CI/CD 管道配置和交付分析方面的作用。根据公司的公告，此次更新是对“人工智能悖论”的直接回应，在这种悖论中，人工智能辅助的代码生成加速了开发，但在安全、测试和部署流程中造成了瓶颈。新的人工智能功能旨在通过提供自动化、上下文感知的安全漏洞修复和智能管道编排来缩小这一差距。

技术分析

GitLab 18.11 更新的核心是将代理人工智能工作流程整合到三个关键运营领域：安全、CI/CD 和价值流分析。在安全领域，平台的人工智能代理现在可以自动生成合并请求来修复 GitLab 内置扫描器识别的漏洞。代理分析漏洞上下文，选择适当的修复方案，并创建必要的代码更改，然后开发人员可以审查并合并。这个过程旨在大幅减少常见漏洞的平均修复时间（MTTR）。

对于 CI/CD，人工智能代理协助管道配置和优化。它可以根据项目需求的自然语言描述生成管道代码，并建议优化以提高构建时间和资源利用率。在交付分析中，人工智能提供预测性洞察和自动化解释，帮助团队识别瓶颈。所有人工智能功能都由 GitLab 的 Duo Chat 界面支持，允许与平台数据和工具进行对话式交互。

入侵指标

目前未识别出任何入侵指标。

战术、技术与程序

此版本没有详细说明恶意威胁行为者的战术。相反，它概述了防御性安全运营的主动、自动化程序：

• T1595（主动扫描）：配置人工智能代理使用集成的 GitLab 扫描器持续扫描代码中的漏洞。
• T1059（命令和脚本解释器）：人工智能代理自动生成并编写代码修复方案，以修复已识别的漏洞。
• T1588（获取能力）：系统利用内置的、经过批准的人工智能模型来获取分析和修复代码的能力。 这些程序代表了内部自动化的 DevSecOps 工作流程，而不是对抗性的 TTP。

威胁行为者背景

此次更新是 GitLab Inc. 的平台功能发布。没有相关的恶意威胁行为者活动。背景是软件开发的不断发展，其中人工智能生成的代码增加了安全债务的体积和潜在速度。平台的增强措施是防御性措施，旨在赋予开发和安全团队与人工智能驱动的编码实践保持同步的能力。

缓解措施与建议

对于使用或评估 GitLab 18.11 的组织：

1. 严格审查人工智能生成的代码：像对待人类编写的代码一样对待人工智能生成的安全修复和管道代码。在合并人工智能建议的更改之前启用强制性审查步骤。
2. 审计人工智能行为和权限：严格控制授予平台内人工智能代理的权限。确保它们在最小权限原则下运行，并且所有行为都被记录以供审计。
3. 验证扫描器发现：自动化修复的有效性完全取决于底层漏洞扫描器的准确性。组织应验证关键发现并了解扫描器的限制，以避免引入错误的补丁。
4. 监控新的攻击面：将高度自动化的人工智能代理集成到核心开发和安全工作流程中，创造了新的攻击面。安全团队应监控潜在的即时注入攻击、训练数据污染或滥用代理权限，这些可能导致供应链受到威胁。