据www.cisoadvisor.com.br报道,英国国家网络安全中心(NCSC)发布分析报告指出,以”vibe coding”(即AI生成代码、常未经人工审核)为代表的AI编程技术,虽长期可能替代部分SaaS市场,但这一转型过程预计需5至10年,且将重塑软件安全范式与供应链底层技术架构。
“SaaSpocalypse”冲击波与现实落差
NCSC架构总监David Chismon指出,2026年2月曾出现一场被称为”SaaSpocalypse“的资本市场震荡——美国科技企业市值发生数十亿美元级别波动,导火索是投资者担忧AI将颠覆SaaS商业模式。然而Chismon强调,当前AI生成代码在质量与安全性上仍远未达到稳定可靠水平:”尽管如此,开发’足够定制化’解决方案的成本与时间曲线正在急剧下移。”
从单点突破到组织级扩散
报告援引真实案例:一家初创公司收到某SaaS服务续费通知,合同金额翻倍;其工程师仅用数小时即基于AI工具开发出覆盖核心功能的内部替代方案。Chismon判断,vibe coding的渗透将沿三大维度展开:
- 所涉服务的技术复杂度
- 该服务在组织运营中的关键性程度
- 组织自身的风险容忍度
他明确表示:”尽管存在缺陷代码与安全漏洞等现实问题,但背后巨大的商业收益将使企业难以抗拒这一趋势。”
安全防线亟待前置重构
“如果安全从业者不从早期就深度参与,这一生态将在缺乏关键安全输入的情况下演进——正如云计算发展初期那样。”——David Chismon,英国国家网络安全中心架构总监
NCSC提出多项安全应对路径:需推动AI模型默认生成安全代码;强化对训练数据来源与模型血统(provenance)的可信验证;利用AI辅助代码审计;更进一步,采用确定性架构(deterministic architecture)限制恶意代码的潜在行为边界,并将传统安全实践——如自动化模糊测试(fuzzing)、完整文档记录与系统化安全测试——强制应用于所有AI生成软件。
幸存者逻辑:5–10年后的SaaS格局
NCSC预测,在未来5至10年内,能够持续存活的SaaS服务将具备三类”护城河”:
- 内在技术壁垒极高的”深水区”服务(如满足严苛行业监管要求的合规引擎)
- 已形成规模效应与网络效应的数据资产平台
- 嵌入关键业务流程、难以被轻量级替代方案解耦的垂直解决方案
相较而言,基础设施即服务(IaaS)与平台即服务(PaaS)受冲击较小——因为无论AI生成多少新应用,企业仍需云资源、容器环境与运行时平台来承载它们。这一趋势亦间接强化了全球云基础设施供应商及边缘计算节点的战略价值。
对中国供应链从业者而言,vibe coding的兴起正加速改变企业级软件采购逻辑:过去依赖标准化SaaS实现快速数字化的路径正面临重构。例如,制造企业若拥有较强IT工程能力,可能转向AI辅助自建MES轻量模块;跨境物流服务商可基于开源大模型+自有运单/报关数据微调,替代部分商用TMS功能。但与此同时,AI生成代码的供应链透明度缺失(如模型训练数据来源不明、提示词工程黑箱)、安全审计难度陡增、以及与现有ERP/MES系统集成风险等问题,已成为新的合规与运维挑战。据Gartner 2024年调研,全球已有37%的中大型企业启动AI原生应用开发试点,其中供应链领域占比达21%,仅次于金融与研发部门。
来源:www.cisoadvisor.com.br
本文编译自海外媒体报道,由 SCI.AI 编辑团队整理发布。
