Както малцина днес мелят зърно, за да направят брашно за хляба си, така и повечето софтуерни разработчици не пишат всеки ред от своите кодове от нулата. Подобен подход би бил прекалено бавен и рискован. Вместо това те използват готови библиотеки, които често притежават отворен код, за да изградят основните компоненти на новите си приложения.

Тази практика е ефективна, но крие заплахи – липсата на яснота и контрол. В момента, когато vibe coding навлиза, картината изглежда още по-сложна. Новият метод позволява на разработчиците бързо да генерират код с помощта на AI, който след това само адаптират, вместо да пишат изцяло. Това ускорява процеса, но и в същото време разширява фронта на проблемите в софтуерната верига на доставки.

„Достигаме до един момент, в който изкуственият интелект ще изгуби своя гратисен период по отношение на сигурността“, предупреждава Алекс Зенла, главен технологичен директор на компанията за облачни услуги Edera пред WIRED.

„AI може да бъде враг, защото генерира несигурен код. Ако системата е обучена върху остарял, уязвим или нискокачествен софтуер, всички тези проблеми могат да се възпроизведат отново – заедно с нови и дори по-големи проблеми.“

От WormGPT до XBOW – езиковите модели дават на аматьори и професионалисти нови инструменти за кибератаки и пренаписват правилата в офанзивната сигурност

Vibe hacking: Каква е новата дигитална заплаха, създадена от генеративния AI

Vibe coding не само „поглъща“ потенциално опасни данни, но и произвежда груб чернови код, който невинаги отчита контекста и спецификите на конкретния проект. Дори когато дадена компания обучава собствен локален модел върху своя кодова база и ясни цели, крайният продукт зависи от способността на хората да откриват всяка възможна грешка в това, което първо е генерирала машината.

„Инженерните екипи трябва да преосмислят целия жизнен цикъл на разработка в ерата на vibe coding“, казва Еран Кинсбрунер, изследовател в компанията за киберсигурност Checkmarx.

„Ако помолите един и същи езиков модел да напише код за вашия проект два пъти, резултатите няма да бъдат еднакви. Един програмист ще получи една версия, а друг – различна. Това добавя нов слой усложнение, отвъд традиционния отворен код.“

В проучване на Checkmarx сред директори по информационна сигурност и мениджъри по разработка една трета от анкетираните посочват, че над 60% от техния код е генериран от AI през 2024 г.

Само 18% обаче имат списък с одобрени инструменти за vibe coding. Компанията отбелязва, че тази тенденция замъглява проследимостта и собствеността върху кода – кой точно го е написал, как е променян и дали изобщо е минал през проверката на човек.

„Проектите с отворен код винаги са носели рискове – остарял софтуер, липса на поддръжка, възможност за злонамерено поемане на контрола. Но поне в тях има механизми за прозрачност.“

„AI кодът не е до такава степен прозрачен“, казва Дан Фернандес, ръководител на AI продуктите в Edera.

„В GitHub можеш да видиш кой е направил дадена промяна, да проследиш комитите, да знаеш кой е участвал. При изкуствения интелект това не е възможно – няма същото ниво на отчетност и не винаги е ясно дали кодът е проверен от човек. А и, нека не забравяме, че човешкият код също може да бъде част от проблема.“

Новият модел на OpenAI вдъхновява експерименти с код, но непредсказуемостта и липсата на реално спестяване на време остават сериозно предизвикателство

AI като „говорещо гумено пате“: Как програмистите търсят помощ от изкуствения интелект?

Евтино, бързо – и опасно

Зенла посочва и друг аспект – vibe coding изглежда като достъпна възможност за създаване на приложения за малките бизнеси и уязвими общности. Но именно тези групи са най-застрашени от последиците при пробив.

„Доста се говори за това как изкуственият интелект може да помага на хора в нужда, защото намалява усилието да се създаде нещо работещо“, казва той. „И това е вярно. Но сигурността, която vibe coding подкопава, ще засегне най-силно именно хората, които най-малко могат да си позволят това.“

Дори в корпоративния сектор последствията са не само финансови. Едно слабо място, внедрено дълбоко в системите чрез автоматично генериран код, може да има сериозни щети за репутацията.

„Факт е, че AI генерираният код вече присъства в реални софтуерни проекти“, казва Джейк Уилямс, бивш хакер в NSA и вицепрезидент по научноизследователска дейност в Hunter Strategy.

„Можем да се поучим от грешките на отворения код в сигурността на софтуерните вериги – или просто няма да го направим, и тогава ще ни заболи.“