微软宣布推出 Copilot Autofix for GitHub Advanced Security for Azure DevOps 有限公开预览版,将基于 AI 的漏洞修复功能扩展至使用 Azure Repos 的团队。该新功能可自动分析 CodeQL 识别出的安全漏洞,利用 GitHub Copilot 的编码代理生成修复建议,并创建拉取请求。开发人员可以通过现有的工作流对这些请求进行审查和合并。这次发布标志着微软在将 AI 直接嵌入软件安全领域方面迈出的最新一步,其重点已经从单纯识别漏洞转向加速漏洞修复。
该公告基于 GitHub 现有的 Copilot Autofix 功能,将其扩展至已经采用 Azure DevOps 作为标准平台(而非 GitHub 代码库)的组织。该平台不再要求开发人员手动解读 CodeQL 的检测结果并实施修复,而是将静态分析与大型语言模型相结合,然后推荐具有上下文意识的代码修改方案,从而缩短了从漏洞检测到修复的时间,同时通过拉取请求审查保持人工监督。
多年来,静态应用程序安全测试(SAST)工具在识别漏洞方面表现出色,但往往需要开发人员花费大量的时间来理解告警信息、研究缓解策略并实施修复。微软认为,应用程序安全的这“最后一公里”已经成为安全软件交付过程中最大的瓶颈之一。
Copilot Autofix 旨在通过将 CodeQL 的深度语义分析与 GitHub Copilot 的代码生成能力相结合,来解决这一问题。当 CodeQL 触发受支持的安全警报时,开发人员可直接通过 Advanced Security 界面由 AI 生成修复方案。该编码代理会结合应用程序的上下文环境对漏洞进行分析,随后生成代码修改建议,并自动创建拉取请求以供审核。生成的修复方案不仅会修改被标记的代码行,必要时还会包含跨多个文件的协调性修改,以便可以确保从根本上解决问题。
尽管修复过程由 AI 辅助完成,但微软强调,开发人员仍然需对每项建议的修复方案进行验证。Copilot Autofix 的建议由大型语言模型生成,无法保证其完整性或不存在意外的副作用。因此,生成的拉取请求仍然需要经过 Azure DevOps 中已有的审查、测试和审批流程。
这种做法反映了 AI 辅助软件工程领域的一个广泛趋势。许多企业平台不再允许自主代理独立进行生产环境变更,而是将 AI 定位为一种助手,在保持现有治理、合规和质量保证实践的同时,加速重复性的工程任务。
本次公告也延续了微软缩小 GitHub 与 Azure DevOps 之间功能差距的努力。GitHub Advanced Security for Azure DevOps 已经为 Azure Repos 提供了密钥扫描、依赖项扫描、基于 CodeQL 的代码扫描以及安全仪表盘。Copilot Autofix 通过添加由 AI 生成的修复方案扩展了这一功能组合,使组织能够在不离开现有开发环境的情况下,从识别漏洞进展到生成修复方案候选。
这次发布符合微软的整体战略,即在继续支持仍然使用 Azure Repos 而非 GitHub 存储库的客户的同时,将 GitHub 技术更深入地集成到 Azure DevOps 中。此前的更新已经为 Azure DevOps 带来了 CodeQL 默认设置、MCP 集成以及经过扩展的 GitHub Advanced Security 功能等特性,而 Copilot Autofix 则标志着这一融合进程迈出了最新一步。
这次发布反映了整个软件行业在应用程序安全领域的广泛演变。安全团队已经认识到,发现漏洞只是挑战的一部分;组织还必须及时修复这些漏洞,跟上现代软件交付的步伐。随着 AI 加快了代码生成,需要进行安全验证的代码量正在迅速增长,这给开发团队带来了新的压力。
AI 辅助修复已经成为应对这一挑战的解决方案之一。通过将静态分析与生成式 AI 相结合,相关平台旨在减轻开发人员的工作负担,同时缩短漏洞解决的时间窗口。AI 并非要取代安全开发实践,而是越来越多地被用于自动化常规的修复工作,从而让工程师能够专注于风险更高的架构和业务逻辑问题。
在将 AI 融入安全软件开发方面,并不是只有微软在这么做。GitHub 已经将 Copilot Autofix 功能扩展至 GitHub Advanced Security,而 GitLab、Snyk、Sonar 和 Checkmarx 等公司也正在将 AI 整合到漏洞分析、代码审查和修复工作流中。这些举措的共同目标是让修复过程与检测一样顺畅,从而使安全工作更贴近开发人员。
与此同时,最新研究表明,由 AI 生成的修复方案仍然需要仔细的验证。针对由智能代理生成的拉取请求所进行的研究发现,尽管 AI 能显著加快软件的维护速度,但其提出的许多修复方案最终会因实现不完整、假设错误或在测试及持续集成(CI)验证过程中出现故障而被驳回。这些研究结果进一步印证了微软将 Copilot Autofix 定位为“需经审核的助手”而非“完全自主的安全工程师”这一决策的正确性。
原文链接:https://www.infoq.com/news/2026/06/azuredevops-copilot-autofix/





