Vibe-kodēšana: ērta, bet bīstama – drošības eksperti brīdina par riskiem
Ar AI palīdzību ātri radītas lietotnes kļūst arvien populārākas, taču tās bieži vien ir neaizsargātas pret uzbrukumiem, jo izstrādātāji ignorē drošības pamatprincipus.
Vibe-kodēšana jeb mākslīgā intelekta (MI) rīku izmantošana programmatūras radīšanai bez manuālas kodēšanas ir kļuvusi par jaunu tendenci, taču drošības eksperti brīdina, ka šādi izstrādātas lietotnes bieži vien satur nopietnas ievainojamības.
Piemēram, projekta vadītājs Bobs Stārs ar vibe-kodēšanu izveidoja vietni "Boomberg", bet tikai pēc vairākiem mēnešiem atklāja tajā SQL injekcijas risku, kas ļautu uzbrucējiem nolasīt vai mainīt datus. Līdzīgas problēmas piemeklējušas arī citus – Džers Kreins sociālajos tīklos ziņoja, ka MI kodēšanas aģents izdzēsis viņa uzņēmuma ražošanas datubāzi, bet Džo Prokopio pēc hakeru uzbrukuma bija spiests slēgt savu vibe-kodēto demonstrāciju lietotni.
SentinelOne pētnieks Gabriels Bernadets-Šapiro uzsver, ka vibe-kodēšana pati par sevi nav slikta – tā ļauj amatieriem radīt noderīgas lietotnes. Tomēr bīstami kļūst, kad personīgā lietotne sāk apstrādāt citu cilvēku datus, piemēram, medicīnisku vai finansiālu informāciju, bez atbilstošas aizsardzības.
Kā liecina Wired ziņotais pētījums, kiberdrošības uzņēmums Red Access atklājis aptuveni 5000 publiski pieejamu vibe-kodētu lietotņu bez autentifikācijas, no kurām gandrīz 2000 nopludināja sensitīvus datus, tostarp medicīnas un finanšu informāciju. Savukārt sociālais tīkls Moltbook, kas izveidots tikai ar MI, atstāja savu datubāzi pilnībā atvērtu, pakļaujot tūkstošiem e-pasta adrešu un privātu ziņojumu.
Lai gan MI rīki, piemēram, Claude Code un Codex, piedāvā drošības skenēšanu, tā jāaktivizē manuāli – lietotājiem pašiem jāpieprasa pārbaude. Eksperti iesaka pirms vibe-kodēšanas rūpīgi apdomāt, kādus datus lietotne glabās un kādi ir iespējamie draudi, kā arī regulāri veikt drošības auditu.
Daži izstrādātāji jau mācās no kļūdām. Džefs Rotblums, kurš izveidoja vibe-kodētu lietotni datu ievadei lobēšanā, apzināti patur datus lokāli, regulāri veic drošības pārbaudes un plāno nolīgt cilvēku ekspertu, ja sāks strādāt ar sensitīvākiem datiem.
Drošības platformas Corridor līdzdibinātājs Džeks Keibls atzīmē, ka vibe-kodēšana ir zema riska prototipiem vai fitnesa izsekotājiem, bet jebkurai publiskai lietotnei ar sensitīviem datiem jāpieiet piesardzīgi. Viņš prognozē, ka nākotnē lielākā daļa koda tiks rakstīta bez cilvēka pārskatīšanas, tāpēc jau laikus jādomā par drošības barjerām.
