Вайб-кодинг: удобно, но опасно – эксперты предупреждают об уязвимостях
Приложения, созданные с помощью ИИ, набирают популярность, но часто лишены базовой защиты, что приводит к утечкам данных и атакам.
Вайб-кодинг – создание программного обеспечения с помощью инструментов искусственного интеллекта (ИИ) без ручного написания кода – становится всё популярнее, но специалисты по безопасности предупреждают о серьёзных рисках.
Например, менеджер проектов Боб Старр с помощью вайб-кодинга создал сайт «Boomberg». Спустя несколько месяцев он обнаружил в нём уязвимость SQL-инъекции, которая могла позволить злоумышленникам читать или изменять данные. Джер Крейн сообщил в X, что ИИ-агент для кодирования уничтожил базу данных его компании, а Джо Прокопио пришлось закрыть своё вайб-кодированное приложение для демонстраций после атаки хакеров.
Габриэль Бернадетт-Шапиро, ведущий исследователь ИИ в SentinelOne, отмечает, что сам по себе вайб-кодинг не плох – он позволяет любителям создавать полезные приложения. Однако опасность возникает, когда личное приложение начинает обрабатывать данные других людей (медицинские, финансовые и т.д.) без надлежащей защиты.
Согласно отчёту Wired, компания Red Access обнаружила около 5000 общедоступных вайб-кодированных приложений без аутентификации, из которых почти 2000 утекли конфиденциальные данные, включая медицинскую и финансовую информацию. Социальная сеть Moltbook, созданная исключительно с помощью ИИ, оставила свою базу данных открытой, раскрыв тысячи адресов электронной почты и личных сообщений.
Хотя инструменты ИИ, такие как Claude Code и Codex, предлагают сканирование безопасности, его необходимо активировать вручную – пользователи должны сами запросить проверку. Эксперты советуют перед началом вайб-кодинга тщательно продумать, какие данные будет хранить приложение и какие угрозы возможны, а также регулярно проводить аудит безопасности.
Некоторые разработчики уже учатся на ошибках. Джефф Ротблюм, создавший вайб-кодированное приложение для ввода данных в лоббировании, сознательно хранит данные локально, регулярно проверяет безопасность и планирует нанять эксперта-человека, если начнёт работать с более чувствительными данными.
Джек Кейбл, генеральный директор платформы безопасности Corridor, подчёркивает, что вайб-кодинг подходит для низкорисковых проектов, таких как прототипы или фитнес-трекеры, но любое общедоступное приложение с конфиденциальными данными требует осторожности. Он предупреждает, что в будущем большая часть кода будет писаться без проверки человеком, поэтому уже сейчас необходимо устанавливать защитные барьеры.
