Популярный метод «вайбкодинга», позволяющий создавать программы с помощью обычных текстовых запросов к нейросетям, несет скрытую угрозу безопасности. Эксперты Security Vision доказали, что генеративные модели часто игнорируют базовую защиту, оставляя в коде открытые пароли, SSH-ключи и уязвимые конфигурации, которые легко находят злоумышленники через публичные репозитории.
Исследователи во главе с Николаем Гончаровым продемонстрировали, как нейросети превращаются в «джинов», исполняющих команды буквально. Модель фокусируется исключительно на функциональности, полностью игнорируя управление доступом, журналирование событий и защиту учетных данных. В ходе эксперимента команда с помощью простых запросов создала систему удаленного администрирования. ИИ не только сгенерировал код с критическими дырами в безопасности, но и сам предложил опубликовать его в открытом доступе вместе с файлами конфигурации, содержащими секретные данные.Основная проблема заключается в ложном чувстве надежности, которое создает аккуратный код. Пользователи без экспертных знаний в ИБ часто принимают работоспособность решения за его защищенность. Анализ открытых источников показал, что такая практика уже приводит к реальным утечкам: в публичных репозиториях массово обнаруживаются логины, пароли и ключи доступа к инфраструктуре компаний. Цепочка компрометации в таких случаях предельно проста: от разведки через поисковые системы до полного контроля над серверами через найденные веб-интерфейсы.
Для нейтрализации рисков эксперты настаивают на жестком контроле: любой сгенерированный фрагмент требует ручной проверки и обязательного использования инструментов статического анализа (SAST). Безопасная разработка сегодня невозможна без выноса секретов в переменные окружения, использования защищенных хранилищ и автоматизированного мониторинга внешнего периметра. В конечном счете ответственность за интеграцию ИИ-кода в работающую систему всегда лежит на человеке, а не на алгоритме.
Комментарии (0)
Пока нет комментариев. Будьте первым!