MOBB, поставщик технологии восстановления уязвимости автоматической безопасности, запустил новые инструменты для обеспечения обеспечения Code, созданного AI, без замедления разработки.
Инструменты кодирования с AI и так называемые «кодирование Vibe» позволили разработчикам создавать больше кода более быстро, чем когда-либо прежде, но скрываясь под всей этой производительности, заключается в непризнанных рисках безопасности.
Платформы, такие как привлекательный, болт и курсор, позволяют любому создавать функциональные приложения за считанные минуты, в то время как профессиональные разработчики используют помощников по ИИ быстрее кодировать.
Тем не менее, недавние исследования показывают, что более 40% приложений, сгенерированных AI, непреднамеренно подвергают конфиденциальных пользовательских данных в общедоступном Интернете. Еще более тревожным является то, что помощники по кодированию ИИ последовательно вводят уязвимости в профессиональные кодовые базы, сказал The New Stack Томер Коэн, вице -президент по продукту MOBB.
Двухстороннее решение
Стартап из Бостона использует двойной подход для борьбы с обеими сторонами спектра кодирования ИИ: случайные строители, использующие платформы без кодов и профессиональных разработчиков, использующие помощников ИИ, чтобы увеличить свои усилия.
Таким образом, MOBB на этой неделе запускает два дополнительных решения для решения рисков безопасности кодирования ИИ: Safevibe.codes и Mobb Vibe Shield.
Safevibe.codes Нацеливается на кризис безопасности без кода с бесплатным веб-сканером на safevibe.codes. Пользователи просто вставляют URL -адрес приложения для получения мгновенного анализа безопасности, показывающего разоблаченные базы данных, просочившиеся личную информацию и неправильные разрешения. Инструмент предоставляет действенное руководство по решению выявленных вопросов, не требуя технической экспертизы.
«Безопасность не должна быть роскошью, доступной только для тех, кто имеет обширные технические знания или большие бюджеты», — объяснил Коэн в посте в блоге. «Сделав Safevibe.codes полностью свободными и доступными, мы демократизируем тестирование безопасности, так как платформы искусственного интеллекта имеют демократизированную разработку приложений».
«Safevibe.codes-это приложение, которое мы запустили в качестве бесплатной услуги для отрасли, чтобы быстро идентифицировать определенные типы уязвимостей в приложениях, которые они создали с некоторыми из ведущих платформ кодирования атмосфера»,-заявил в новом стеке Eitan Worcel, соучредителя и генерального директора MOBB. «Мы — великие сторонники кодирования атмосфера и видим огромный потенциал в нем. Фактически, [SafeVibe.Codes] Сам сайт был построен с Bolt, который является одной из тех платформ ».
Платформа сканирует для:
- Воздействие базы данных и несанкционированный доступ
- Конфиденциальная утечка данных
- Разрешение неправильно настроения
- Скрытые страницы (например, /администратор)
- Общие уязвимости безопасности API (скоро наступит)
- Проблемы проверки данных (скоро)
В будущем покрытие тестирования будет включать в себя:
- Мониторинг в реальном времени: Непрерывный мониторинг безопасности, чтобы предупредить вас при введении новых уязвимостей.
- Сканирование экспозиции страницы: Обнаружение непреднамеренно общественных страниц и конфиденциальной информации, обнаруженной в конечных точках HTML, JavaScript или API.
- Обнаружение оперативной экспозиции AI: Основная интеллектуальная собственность многих приложений заключается в их подсказках ИИ и системных инструкциях. Тем не менее, обычно, что платформы кодирования атмосфера разоблачают эти подсказки всем. Safevibe.codes идентифицирует, когда эти ценные подсказки непреднамеренно выставлены в коде клиента или ответах API, что позволяет конкурентам копировать уникальное поведение вашего приложения.
- Полный анализ безопасности кода: Комплексное сканирование исходного кода для выявления уязвимостей, таких как недостатки инъекций, небезопасные зависимости и логические ошибки.
- Проверка соответствия: Автоматизированная проверка по стандартам безопасности и правилам защиты данных.
- Образование в области безопасности: Интерактивные учебники и лучшие практики, специально предназначенные для применений, сгенерированных AI,
Обращение к предприятию
Тем временем, Mobb Vibe Shield Обращается к профессиональной стороне разработчика с помощью интеграции IDE — он работает с VS -кодом, Github Copilot, курсором, виндсурфом, Jetbrains Ides и Cline (с другими предстоящими). Инструмент непрерывно сканирует код по мере его написания, автоматически обнаруживая уязвимости, введенные помощниками искусственного интеллекта и применение проверенных исправлений безопасности в режиме реального времени. Используя протокол контекста модели (MCP), он легко интегрируется с существующими рабочими процессами кодирования ИИ.
Система не полагается на ИИ, чтобы исправить проблемы безопасности, которые он обнаруживает. Вместо этого он применяет предварительно подтвержденные исправления безопасности, разработанные экспертами MOBB по безопасности, гарантируя, что исправления устранения уязвимостей, а не создания новых, сказал Коэн.
Уорсель отметил, что компании уже внедряют инструменты кодирования атмосфера в беспрецедентных темпах, поскольку они стремятся извлечь выгоду из всех повышений производительности.
«Мы видим, что это происходит в компаниях всех размеров и во всех отраслях. Ни разработчики, ни команды безопасности не подготовлены для обработки огромного количества созданных новых уязвимостей кода и кода, а существующие инструменты сканирования кода были медленными, а шумные не были предназначены для его обработки», — сказал он в новом стеке. «Mobb Vibe Shield был построен с нуля в качестве решения для компаний, которые стремятся безопасно принять кодирование Vibe. Он работает вместе с разработчиком в рамках выбранного инструмента ИИ, осматривает сгенерированный AI код и немедленно применяет исправления для обнаружения уязвимостей до того, как они станут проблемой».
Скрытый кризис в платформах без код
По словам Коэна, исследовательская группа MOBB провела обширный анализ безопасности на пяти основных платформах развития искусственного интеллекта: привлекательный, Bolt, Base44, Repit и V0. Результаты рисуют тревожную картину текущего состояния безопасности приложения ИИ.
«Более 40% приложений, которые мы протестировали на всех платформах, содержали некоторый уровень конфиденциального воздействия данных», — сказал он. «Это означает, что почти половина всех приложений, сгенерированных ИИ, непреднамеренно обменивались частной информацией с публичным Интернетом».
Типы открытых данных включают личную информацию, такую как имена, электронные письма и номера телефонов, а также финансовые записи, частные общения и учетные данные по аутентификации. Кроме того, примерно в 20% случаев анонимные пользователи могут не только просмотреть эти данные, но и изменить или полностью их удалить.
Становится еще хуже
Во время интервью Коэн продемонстрировал процесс использования Base44 для создания системы бронирования спортзала. ИИ создал функциональное приложение в комплекте с расписанием класса и регистрацией участников. Но по умолчанию он также создал общедоступные базы данных, содержащие личную информацию каждого участника — без предупреждений о последствиях безопасности.
«Ни в коем случае платформа не предупреждает вас об этих последствиях безопасности», — написал Коэн в блоге. «Нет никаких признаков того, что конфиденциальная личная информация собирается и хранится в общедоступной базе данных».
Тем не менее, возможно, что еще более тревожно происходит, когда пользователи пытаются решить эти проблемы. Когда разработчики пытаются включить надлежащие элементы управления безопасности, приложения часто ломаются. Когда они просят ИИ исправить сломанную функциональность, платформы часто отвечают, полностью удаляя меры безопасности-без объяснения компромиссов, которые производится.
«Вот где проблема становится еще хуже», — сказал Коэн в посте в блоге. «При попытке решить проблему безопасности, позволяя настройкам безопасности уровня строк (RLS) для ограничения доступа к базе данных, во многих случаях приложение немедленно ломается. Код, сгенерированный AI, не предназначен для работы с надлежащими элементами безопасности.
«При просьбе агента ИИ исправить сломанную функциональность, ответ платформы тревожит: во многих случаях она просто удаляла мои ограничения RLS и вновь открыл данные в мир — без какого -либо предупреждения о том, что это было опасно или объясняет последствия для безопасности.
Представление уязвимостей
Более того, при тестировании исследователи MOBB обнаружили, что просьба помощников по искусственному искусству выполнить общие задачи разработки — например, создание конечной точки для Code Commits — привело к уязвимости в инъекциях команд с 100% -ным уровнем репродукции, сказал Коэн. Эти недостатки могут позволить злоумышленникам выполнять произвольные команды на производственных серверах.
Кроме того, инструменты искусственного интеллекта часто утверждают, что внедрили меры безопасности. «Это на самом деле говорит мне, что он сделал что -то, чтобы предотвратить инъекцию команды», — сказал Коэн. «Таким образом, разработчики, даже опытные, ответственные разработчики, могут быть обмануты этим, потому что это выглядит очень убедительно».
Это создает ложное чувство безопасности, когда разработчики считают, что их помощник по искусственному искусству правильно обеспечил свой код, когда на самом деле он ввел уязвимости, в то же время появляясь для решения проблем безопасности.
«Это не должно препятствовать использованию инструментов разработки ИИ — они мощные и демократизирующие технологии», — написал Коэн. «Вместо этого, это призыв к действию как для поставщиков платформ, так и для разработчиков, чтобы расставить приоритеты в безопасности наряду с функциональностью».
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Дэррил К. Тафт охватывает DevOps, инструменты разработки программного обеспечения и проблемы, связанные с разработчиком из своего офиса в районе Балтимора. Он имеет более чем 25 -летний опыт работы в бизнесе и всегда ищет следующий совок. Он работал … читайте больше от Дэррила К. Тафта
