به گزارش مدیاتی:با گسترش استفاده از ابزارهای هوش مصنوعی در فرایند برنامهنویسی و رواج پدیدهای که به «وایب کدینگ» معروف شده، برخی پژوهشگران نسبت به پیامدهای امنیتی آن هشدار دادهاند. نتایج بررسیهای جدید نشان میدهد اتکای بیش از حد به تولید خودکار کد بدون بررسی دقیق انسانی میتواند به افزایش آسیبپذیریهای امنیتی در نرمافزارها منجر شود.
به گفته محققان، هرچند این روش میتواند سرعت توسعه نرمافزار را بالا ببرد، اما در صورت نبود کنترلهای امنیتی و بازبینی دقیق، احتمال ورود خطاها و ضعفهای امنیتی به کد نهایی افزایش پیدا میکند.
محققان نسبت به افزایش آسیبپذیریهای امنیتی با گسترش «وایب کدینگ» هشدار دادند
رشد سریع «وایب کدینگ» (Vibe Coding) ساخت اپلیکیشن را برای کاربران غیرمتخصص بسیار سادهتر کرده است. حالا افرادی مانند بازاریابها، بنیانگذاران استارتاپها یا کارآموزان میتوانند بدون دانش فنی و تنها با توضیحدادن ایده خود به زبان طبیعی، در مدت کوتاهی یک اپلیکیشن بسازند. بااینحال، بررسیهای تازه نشان میدهد این سهولت و سرعت بالا میتواند با هزینههای امنیتی جدی همراه باشد.
براساس گزارشی که Wired به نقل از شرکت امنیت سایبری RedAccess منتشر کرده، پژوهشگران این شرکت حدود ۵ هزار اپلیکیشن تحت وب را شناسایی کردهاند که با ابزارهای پرکاربردی مانند Lovable، Replit و Netlify ساخته شدهاند و تقریباً هیچ لایه امنیتی مؤثری ندارند. در بسیاری از این موارد، اپلیکیشنها توسط گوگل نیز ایندکس شده بودند؛ موضوعی که باعث میشد کاربران عادی هم بتوانند از طریق جستجو به اطلاعات حساس سازمانی دسترسی پیدا کنند.
اطلاعات افشاشده در این اپها شامل موارد حساسی مانند برنامه کاری بیمارستانها، راهبردهای ورود به بازار، سوابق فروش و حتی گفتوگوهای مرتبط با بیماران بوده است. به گفته پژوهشگران، مشکل اصلی اینجاست که بسیاری از کاربران این ابزارها با اصول پایه امنیت نرمافزار، از جمله احراز هویت، مدیریت دسترسی خصوصی و محدودسازی نمایش عمومی دادهها، آشنایی کافی ندارند.
در مقابل، شرکتهای ارائهدهنده این پلتفرمها نگاه متفاوتی به ماجرا دارند. برای مثال، Replit و Wix که در حوزه ساخت وبسایت و صفحات آنلاین فعالیت میکنند، میگویند عمومیبودن یک اپلیکیشن در بسیاری از موارد نتیجه انتخاب خود کاربر است. از نظر این شرکتها، داشتن یک آدرس عمومی لزوماً به معنای نشت امنیتی نیست، بلکه میتواند بخشی طبیعی از کارکرد ابزاری باشد که برای اشتراکگذاری محتوا طراحی شده است.
بااینحال، کارشناسان امنیتی معتقدند وقتی محصولی برای کاربران غیرمتخصص ساخته میشود، تنظیمات پیشفرض آن عملاً به استاندارد امنیتی همان محصول تبدیل میشود. اگر حالت پیشفرض یک اپلیکیشن «عمومی» باشد، کاربری که درک دقیقی از معماری وب یا مفاهیم امنیتی ندارد، ممکن است ناخواسته دادهها را در معرض دید همگان قرار دهد.
این روند در عین حال شکل تازهای از مفهوم Shadow IT یا «فناوری اطلاعات در سایه» را ایجاد کرده است؛ مفهومی که به استفاده از ابزارها و سرویسهای فناوری بدون اطلاع یا نظارت رسمی واحد فناوری اطلاعات اشاره دارد. در این شرایط، کارکنان با کمک ابزارهای مبتنی بر هوش مصنوعی، سامانههایی مانند سیستم پیگیری فروش، پورتال مشتریان یا صفحات گزارشگیری میسازند؛ ابزارهایی که شاید در ابتدا برای آزمایش سریع ایجاد شده باشند، اما بهتدریج به سامانههای غیررسمی اما عملیاتی تبدیل میشوند و دادههای واقعی مشتریان یا اطلاعات مالی سازمان را روی وب در دسترس عموم قرار میدهند.
وایب کدینگ بهدلیل سرعت، سادگی و بهرهوری بالا بهسرعت در حال گسترش است و به نظر نمیرسد استفاده از آن متوقف شود. بااینحال، کارشناسان تأکید میکنند مرحله بعدی توسعه این ابزارها باید بر ایجاد تعادل میان سرعت و ایمنی متمرکز باشد. از جمله راهکارهای پیشنهادی این است که اپلیکیشنهای ساختهشده با این پلتفرمها بهصورت پیشفرض خصوصی باشند و هنگام اتصال به منابع داده حساس، هشدارهای روشنتر و دقیقتری به کاربران نمایش داده شود.
