Попробовать что -то новое, часто может быть захватывающим, может быть, немного страшным, а иногда и даже расширяющим возможности. Концепция «кодирования вибрации», просто открывая пустой редактор и предоставление инструментам, таким как CHATGPT, Copilot и Cursor (почему они все начинаются с «C»?), Приносит идею в жизнь, дает людям смелость просто создавать без прикрепленных струн. Свобода захватывает многих, но, как и в случае с большинством новых технологий, это инновация также создает проблемы безопасности.
Я работал лингвистом и аналитиком разведки более десяти лет, сначала в ВВС сша, а затем в Booz Allen Hamilton, отслеживая и защищая от актеров-угроз национального государства. Но сегодня, будучи стратегом-старшим в области кибербезопасности в Sysdig, я получаю возможность решать проблемы безопасности, с которыми сталкиваются те, кто находится на переднем крае инноваций в области безопасности и помогает организациям создавать и поддерживать программы безопасности, которые работают в эпоху облачных и родственных.
Когда ИИ быстро ускоряется, безопасность может отставать
В августе у меня была привилегия размещать вебинарную панель с тремя блестящими умами от сообщества с открытым исходным кодом, каждый из которых создал инструмент, который вы можете использовать ежедневно: Крейг МакЛаки, соавтор Kubernetes; Лорис ДеГиоанни, создатель Falco; и Джеральд Комбс, создатель Wireshark.
Во время нашей панельной дискуссии все три спикера единогласно выразили свои опасения по поводу сгенерированных AI кодекса для проектов с открытым исходным кодом, признавая его будущее и зрелый потенциал. Они поставили под сомнение безопасность, долгосрочную обслуживаемость и бремя, которое она накладывает в сообщество с открытым исходным кодом. В то же время они признали его ценность для быстрого прототипирования и отметили, что через несколько лет ИИ, вероятно, станет более ценным участником, чем рискованная ответственность.
Но этот риск безопасности выходит за рамки открытого исходного кода, и их мнения в конечном итоге появились более широкое обсуждение того, как мы можем адаптироваться и формировать использование ИИ в разработке программного обеспечения. Так что же происходит, когда энтузиазм превосходит опыт? Без человеческого надзора, обучения, знаний и ограждений безопасности ИИ может так же легко ускорить хаос.
Рентгенологи, например, приняли ИИ. Они полагаются на системы искусственного интеллекта для чтения рентгеновских снимков, CTS и МРТ, а также выделить интересные области. Тем не менее, они не принимают результаты за стоимость лица. Радиологи интерпретируют их вместе с историей пациента, их клиническим опытом и нюансом распознавания закономерности, полагаясь на их опыт в отношении единственной зависимости от новых технологий.
Я предлагаю, так это то, что, хотя ИИ помогает нам сократить ручные усилия и ускорить процессы, мы еще не можем полностью доверять этому. Опытный опыт и человеческое суждение остаются ключевыми. Кодеры Vibe также должны принять это мышление.
Больше кода, больше риска
Используя LLM, каждый может кодировать, но не все являются разработчиком. Кодирование Vibe, или то, что некоторые называют «агентным кодированием», может быть способом для молодых технических техников научиться кодировать и вносить что -то значимое для проектов с открытым исходным кодом, которые они ценят и полагаются. К сожалению, если вы не знаете Python и не пойдете хорошо, вы собираетесь попасть в стену в процессе отладки. Уязвимость может быть непреднамеренно введена в код.
Первое правило кодирования вибрации-это понимание того, что предложения по сгенерированию кода AI не защищены по умолчанию.
Различные модели ИИ могут также представлять различные виды риска. Хотя можно меньше галлюцинаться, в нем может быть недостаточное контекст. С другой стороны, модель более общего назначения может генерировать код, который выглядит правильно, но вводит тонкие недостатки безопасности. Кроме того, модель, обученная старым или устаревшим данным разработчика, может использовать небезопасные кодовые шаблоны, которые исторически присутствовали в репозиториях с открытым исходным кодом.
Таким образом, хотя увеличенный вклад и участие замечательны для сообщества с открытым исходным кодом, например, на другом конце проекта есть люди. Содействия в настоящее время аудит и проверяет больше кода, а дополнительный объем замедляет темпы прогресса. Риск, связанный с сгенерированными AI-представлениями кода для проектов с открытым исходным кодом, также ускоряет выгорание содействий. Благодаря чрезмерному количеству кода, основанного на искусственном интеллекте, ожидающего рассмотрения, качество проектов с открытым исходным кодом может дрейфовать с течением времени. Кульминация небольших ошибок создает хрупкость системы.
Актеры угроз используют код, сгенерированный AI
Что происходит, когда наши противники используют ИИ, чтобы не помогать, а спрятаться? Они могут использовать ИИ для запугивания сценариев настолько хорошо, что квалифицированные сопровождающие изо всех сил пытаются проанализировать его или определить незаконную кодекс.
Отчет Sysdig 2025 Cloud-Cline Security and Resage обнаружил, что раздувание изображения было квинктировано с 2024 года, а количество пакетов в контейнерных изображениях выросло на 300%. Раздувание изображения — это избыток пакетов, которые не необходимы для правильного запуска приложения. Здесь растет поверхность атаки. Злоумышленник также может использовать ИИ для увеличения объема кода, делая процесс обзора более трудоемким и увеличивая вероятность проскощения опасных коммитов.
Возьмите страницу из Playbook Actor Actor: в июне 2025 года исследовательская группа Sysdig угроз обнаружила, что вредоносное ПО, нацеленное на неправильный инструмент с открытым исходным кодом как в системах Windows, так и на Linux. Тем не менее, код составлял только 85-90% AI, сгенерированный. Актер угрозы все еще вручную просмотрел и отлаживал код, прежде чем его использовать. Даже злоумышленники рассматривают код ИИ на предмет обеспечения качества.
От концепции до компромисса
Соучредитель Twitter Джек Дорси построил Bitchat, децентрализованную платформу для обмена сообщениями на основе Bluetooth, в выходные дни, используя ассистента по кодированию и отладке с открытым исходным искусством, называемым Goose. 6 июля 2025 года он поделился заявлением на GitHub и X, но на следующий день был обнаружен недостаток в среднем уровне. Исследователь безопасности Алекс Радочея обнаружил, что злоумышленники могут обойти функцию «фавориты», которая позволила пользователям Bitchat проверить свои надежные контакты.
Там, где должна была быть аутентификация пары личности между «любимыми» пользователями, противник мог представить свои собственные ключи и выдавать себя за то, что пользователи друга думали, что они общаются, не требуется аутентификации. Дорси признал, что приложение не было официально рассмотрено до его выхода, и предупредил пользователей, что оно все еще находится в разработке.
Закрепите свои вибрации. Свочка Джека Дорси-только один пример нетолетого приложения, кодируемого атмосферой, которое не было готово к производству. Поскольку все больше участников полагаются на модели ИИ для своего кода, спектр рисков будет продолжать расти. Тем не менее, эти проблемы безопасности, как правило, могут быть смягчены правильными мерами безопасности и практикой проверки кода.
Используйте инструмент, доверяйте человеку
Именно здесь наша радиологическая аналогия проходит полный круг. Подобно тому, как рентгенолог рассказывает об интерпретированном ИИ-сканировании, люди должны оставаться в цикле кода, прежде чем он будет привержен производству.
Кодирование AI-ASISTIND не уходит и не должно. Возможность перейти от идеи к первой линии кода к производству в течение нескольких дней является мощным шагом вперед. Тем не менее, охраны безопасности, процессов обзора и грамотности разработчиков должны быстро развиваться параллельно.
ИИ усиливает как хорошее, так и плохое. В то время как это снижает барьер для входа для разработчиков, новые участники нуждаются в структурированном наставничестве — в противном случае проекты с открытым исходным кодом рискуют увеличить хрупкость, а приложения рискуют серьезной уязвимость.
Сообщество с открытым исходным кодом или разработчики ветеранов могут выступать за более безопасный код, сгенерированный AI, пропагандируя базовые ограждения безопасности для отслеживания и сканирования вкладов, используя инструменты искусственного интеллекта для первоначального обзора Code, созданного AI, и обучение следующего поколения разработчиков на лучшие практики.
Кодирование Vibe является преобразующим, но мы должны применять одно и то же человеческое суждение, дисциплину и творчество, которые всегда стимулировали технологии и инновации вперед.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Crystal Morin — стратег кибербезопасности в Sysdig, ведущей компании облачной безопасности AI, основанной на инновациях с открытым исходным кодом. Она переводит сложные концепции безопасности и передовые исследования в четкое, действенное руководство как для лидеров, так и для практиков, помогая организациям защищаться против … Подробнее от Crystal Morin
