Новата генерација на ВИ алатки за програмирање драматично го забрза развојот на софтвер. Денес, стартапи, фриленсери и дури луѓе без програмерско искуство можат за неколку часа да креираат веб апликации со помош на алатки како Cursor, Claude Code, Replit, Lovable или Bolt.new. Но, зад оваа продуктивност се појавува нов и сериозен проблем: безбедноста.
Последните истражувања покажуваат дека илјадници таканаречени “vibe-coded” апликации моментално се јавно достапни на интернет со критични безбедносни пропусти, изложени API клучеви, нешифрирани кориснички информации и отворени бази на податоци.
Терминот “vibe coding”, кој првично беше популаризиран од софтверскиот инженер Андреј Карпати опишува начин на развој каде корисникот едноставно му кажува на ВИ моделот што сака да изгради, а алатката автоматски го генерира кодот. Проблемот е што многумина никогаш не го читаат или проверуваат тој код пред да го пуштат во продукција.
Илјадници ранливи апликации веќе се онлајн
Според истражување цитирано од Forbes, биле скенирани околу 5.600 јавно достапни ВИ-генерирани апликации. Анализата открила над 2.000 сериозни ранливости и повеќе од 400 изложени тајни податоци како API токени, лозинки и пристапни клучеви.
Во дел од случаите биле пронајдени и медицински информации, телефонски броеви и банкарски податоци оставени јавно достапни на интернет.
Дополнително, истражување објавено на arXiv покажува дека иако ВИ моделите често генерираат функционален код, само мал дел од него е навистина безбеден за продукциска употреба. Истражувачите предупредуваат дека автоматски генерираниот код често изгледа правилно, но содржи скриени логички и безбедносни слабости.
Една од причините за овој проблем е што ВИ алатките драматично го скратуваат циклусот на развој. Наместо недели, апликации денес се пуштаат за неколку часа. Но, безбедносните проверки, penetration тестирањата и code review процесите најчесто остануваат прескокнати.
Според GuardMint, повеќе од 60% од тестираните “vibe-coded” апликации содржеле изложени API клучеви или database credentials. Истражувањето наведува дека голем дел од корисниците никогаш не стартуваат ниту basic security scanner пред пуштање на апликацијата.
Дополнителен проблем е што ВИ моделите често користат небезбедни шаблони од интернет, застарени библиотеки или погрешни конфигурации. Во пракса, тоа значи дека ВИ може да генерира апликација која функционира совршено, но паралелно остава отворен пристап до базата на податоци.
Компании и стартапи веќе чувствуваат последици
Во април годинава, ВИ стартапот Lovable се најде во центарот на безбедносен скандал откако истражувачи открија дека корисници можеле да пристапат до приватни проекти, чет историја и чувствителни податоци преку бесплатен акаунт.
Слични инциденти се појавуваат сè почесто. Во една Reddit дискусија, безбедносен истражувач кој скенирал над 1.000 ВИ-генерирани апликации предупредува дека најголемиот дел од нив имаат проблеми со изложени лични податоци и неконтролиран пристап до backend инфраструктурата.
На Reddit, дел од програмерите предупредуваат дека многу од овие апликации користат backend сервиси како Supabase без правилно конфигурирана безбедност, што овозможува јавен пристап до кориснички информации.
Проблемот веќе го забележуваат и државните институции. Организациите веќе предупредуваат дека “vibe coding” претставува сериозен ризик за компаниите, особено кога ВИ алатките ги користат луѓе без безбедносно и инженерско искуство.
Додека ВИ може да помогне во продуктивноста, моментално не постои гаранција дека генерираниот код е безбеден. Напротив, комплексноста на софтверот расте побрзо отколку способноста на организациите да го контролираат ризикот.
И покрај проблемите, експертите не сметаат дека ВИ кодирањето ќе исчезне. Напротив, се очекува “vibe coding” да стане стандарден дел од развојот на софтвер. Но, пораката е јасна: ВИ може да пишува код, но сè уште не може самостојно да гарантира безбедност.
Истражувачите препорачуваат задолжителни безбедносни алатки, човечка проверка и постојани penetration тестови пред било која ВИ-генерирана апликација да биде пуштена во продукција.
Во спротивно, индустријата ризикува да создаде нова генерација апликации кои изгледаат модерно и функционално, но зад сцената оставаат отворени врати за протекување податоци, злоупотреби и сајбер напади.
Оваа содржина е генерирана со помош на вештачка интелигенција, но е внимателно проверена, уредена и дополнета од уредничкиот тим на IT.mk, со цел да обезбедиме точни, релевантни и квалитетни информации за читателите.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
