הקרס
פיתוח בסיוע AI, הנקרא לעתים קרובות "קידוד vibe", יכול להכניס סיכוני אבטחה אם הקוד שנוצר לא נסרק כראוי לאיתור נקודות תורפה. [S1] הסתמכות על הצעות AI ללא אימות עלולה להוביל להכללה של דפוסים לא מאובטחים בסביבות ייצור. [S1]
מה השתנה
השימוש בכלי AI האיץ את מחזורי הפיתוח, אך לרוב על חשבון פיקוח אבטחה. תכונות אוטומטיות כמו סריקת קוד נחוצות כדי לזהות סיכונים שעלולים להתעלם מהם במהלך קידוד מהיר מונע AI. [S1]
מי מושפע
צוותים המשתמשים ב-AI כדי ליצור קוד ללא שילוב כלי אבטחה כמו סריקה סודית או סריקת קוד הם פגיעים. [S1] חוסר פיקוח זה יכול להשפיע על כל יישום אינטרנט שבו שיטות אבטחה מומלצות אינן נאכפות בקפדנות. [S2] [S3]
איך הבעיה עובדת
קוד שנוצר על ידי AI עלול לכלול בטעות סודות או אישורים מקודדים קשה, אותם ניתן לזהות באמצעות סריקה סודית. [S1] בנוסף, ללא סריקת קוד אוטומטית, פגיעויות כגון טיפול לא תקין בקלט עלולות להישאר מעיניהם עד לניצול. [S1] [S3]
מה שתוקף מקבל
תוקפים יכולים לנצל קוד לא מאומת כדי לבצע התקפות מבוססות אינטרנט, שעלולות להוביל לחשיפת נתונים או גישה לא מורשית. [S2] [S3] אם סודות דולפים בקוד, התוקפים עשויים לקבל גישה ישירה למשאבים רגישים או ממשקי ניהול. [S1]
כיצד FixVibe בודק את זה
FixVibe מכסה זאת כעת בסריקות ריפו של GitHub דרך code.vibe-coding-security-risks-backfill. ההמחאה סוקרת מאגר אפליקציות אינטרנט שנוצרו או מורכבות מהירה של AI לסריקת קוד, סריקה סודית, אוטומציה של תלות, ומעקות בטיחות של AI לסוכן המאזכרות סקירת אבטחה. בדיקות חיות קשורות בודקות את סודות החבילות, דפוסי אינטרנט לא בטוחים, פערים של Supabase RLS ותנוחת תלות/אבטחה.
מה לתקן
אפשר סריקת קוד אוטומטית כדי לזהות ולתקן פגיעויות בבסיס הקוד. [S1] יישם סריקה סודית כדי למנוע חשיפה מקרית של אישורים רגישים. [S1] כל הקוד, במיוחד זה שנוצר על ידי AI, צריך לעבור סקירה ובדיקות אבטחה יסודיות כדי לוודא שהוא עומד בתקני בטיחות שנקבעו. [S2] [S3]