Какви са недостатъците на vibe-кодирането: сериозни пропуски в киберсигурността

Бързото разпространение на ИИ инструментите за разработване на софтуер започва да се превръща в сериозен проблем за киберсигурността. Изследователите предупреждават, че услугите, които позволяват създаването на уеб-приложения буквално с няколко текстови заявки, все по-често се превръщат в източник на изтичане на поверителни данни.

Това сочи ново проучване на израелската компания Red Access, което е открило хиляди отворени AI приложения с потенциално чувствителна информация. Това включва медицински данни, финансови документи, вътрешна корпоративна кореспонденция и дори комуникация с клиенти.

Проблемът е свързан с популярността на така наречения vibe coding, при който потребителите без задълбочени технически познания създават приложения, използвайки AI-платформите. Услуги като Replit, Netlify и Lovable значително опростяват разработката, но същевременно могат да създадат рискове поради недостатъчно внимание към настройките за сигурност.

Според изследователите са открити около 380 000 публично достъпни AI-приложения, от които около 5000 съдържат потенциално чувствителни данни. Някои от изтичанията включват медицински досиета, вътрешни графици на персонала, данни за продажби, маркетингови презентации и лог файлове на чатботове с информация за контакт с клиенти.

Red Access обяснява, че много потребители дори не осъзнават, че инструментите, които създават, са достъпни онлайн, след като бъдат публикувани, особено за нетехническите потребители, които не са запознати с контрола на достъпа, оторизацията или конфигурацията на сигурността.

Изследването го свързва и с феномена „сянката на ИИ“, при която служителите използват AI инструменти без официално разрешение или контрол от компанията. Това може неволно да разкрие корпоративни данни.

В същото време самите платформи частично не са съгласни с критиките. Replit заявява, че потребителите самостоятелно определят дали приложенията им ще бъдат публични или частни. Представители на други платформи също подчертават, че услугите предоставят необходимите инструменти за сигурност, а отговорността за конфигурацията е на самите разработчици.

Анализаторите прогнозират, че мащабът на проблема само ще расте. До края на годината се очаква около 60% от новия софтуерен код да бъде създаден с помощта на изкуствен интелект. Макар че подобни инструменти демократизират разработването на софтуер, те също така заобикалят традиционните механизми за преглед на сигурността, използвани от професионалните екипи за разработка.