محققان: رشد وایب کدینگ آسیب‌پذیری‌های امنیتی را افزایش می‌دهد

رشد سریع «وایب کدینگ» (Vibe Coding) امکان تولید اپلیکیشن را برای کاربران غیرمتخصص فراهم کرده است. اکنون افرادی مانند بازاریاب‌ها، بنیان‌گذاران استارتاپ‌ها یا کارآموزان می‌توانند بدون دانش برنامه‌نویسی، ایده خود را به زبان ساده توضیح دهند و در مدت کوتاهی اپلیکیشن بسازند. اما یافته‌های جدید نشان می‌دهد این سرعت بالا می‌تواند هزینه امنیتی قابل‌توجهی داشته باشد.

براساس گزارشی که Wired به نقل از شرکت امنیت سایبری RedAccess منتشر کرده، پژوهشگران این شرکت حدود ۵ هزار اپلیکیشن تحت وب ساخته‌شده با ابزارهای محبوبی مانند Lovable ،Replit و Netlify را شناسایی کرده‌اند که تقریباً هیچ لایه امنیتی مؤثری ندارند. در بسیاری از موارد، این اپ‌ها توسط گوگل ایندکس شده بودند؛ یعنی کاربران عادی نیز می‌توانستند با جستجو به اطلاعات حساس شرکت‌ها دسترسی پیدا کنند.

داده‌های افشاشده شامل مواردی مانند برنامه کاری بیمارستان‌ها، استراتژی‌های ورود به بازار، سوابق فروش و حتی گفتگوهای مربوط به بیماران بوده است. مسئله اصلی این است که بسیاری از کاربران این ابزارها با مفاهیم پایه‌ای امنیت نرم‌افزار، مانند احراز هویت، دسترسی خصوصی یا محدودسازی نمایش عمومی اطلاعات، آشنایی ندارند.

شرکت‌های ارائه‌دهنده این پلتفرم‌ها اما نگاه متفاوتی به موضوع دارند. Replit و Wix که در زمینه ساخت وب‌سایت و صفحات شخصی فعالیت دارند، می‌گویند اگر یک اپلیکیشن عمومی است، دلیل آن انتخاب کاربر بوده. از نظر این شرکت‌ها، وجود یک آدرس عمومی برای اپلیکیشن به‌خودی‌خود «نشت امنیتی» محسوب نمی‌شود، بلکه رفتاری مورد انتظار برای ابزاری است که با هدف اشتراک‌گذاری محتوا طراحی شده است.

دلیل آسیب‌پذیری سرویس‌های وایب کدینگ

بااین‌حال کارشناسان امنیتی نظر دیگری دارند و می‌گویند وقتی ابزاری برای کاربران غیرمتخصص عرضه می‌شود، تنظیمات پیش‌فرض آن عملاً به مدل امنیتی استاندارد محصول تبدیل می‌شود. اگر حالت پیش‌فرض «عمومی» باشد، کاربری که معماری وب را نمی‌شناسد ممکن است ناخواسته داده‌ها را در معرض دید همه قرار دهد.

این روند شکل تازه‌ای از مفهوم «Shadow IT» یا «فناوری اطلاعات در سایه» را ایجاد کرده است؛ مفهومی که به استفاده از ابزارها و سرویس‌های فناوری، بدون اطلاع یا نظارت رسمی تیم فناوری اطلاعات، اشاره دارد. در این مورد، کارمندان با کمک هوش مصنوعی ابزارهایی مانند سیستم پیگیری فروش، پورتال مشتریان یا صفحات گزارش‌گیری می‌سازند. این ابزارها ممکن است در ابتدا فقط برای آزمایشی سریع ساخته شده باشند، اما به‌مرور به سامانه‌های غیررسمی عملیاتی تبدیل شوند و داده‌های واقعی مشتریان یا سوابق مالی سازمان را روی وب در دسترس عموم قرار دهند.

وایب کدینگ به‌دلیل سرعت و کارایی بالای خود مورد توجه زیادی قرار گرفته است و استفاده از آن احتمالاً متوقف نخواهد شد. بااین‌حال کارشناسان می‌گویند در مرحله بعدی توسعه ابزارهای هوش مصنوعی باید ایمنی کنار سرعت قرار بگیرد. یکی از پیشنهادها این است که اپلیکیشن‌های ساخته‌شده با این پلتفرم‌ها به‌صورت پیش‌فرض خصوصی باشند و هنگام اتصال به منابع داده حساس، هشدارهای واضح‌تری به کاربر نمایش داده شود.