Bob Starr vibe kodlaşdırma ilə hazırladığı vebsaytdan məmnun idi. "Boomberg" ABŞ vergilərinin texnologiya şirkətlərinə necə yönəldiyini göstərirdi və Starr saytını dərhal onlayn təqdim etmişdi. Amma saytı işə salandan sonra aylarla keçəndən sonra o, bir problemi fərq etdi: gizli bir SQL inyeksiya riski mövcud idi. Bu, saytın hücum edən şəxs tərəfindən icazəsiz məlumatların oxunması və ya dəyişdirilməsi üçün açıq ola bilərdi.

"Bu, mənim üçün böyük bir gözdən qaçırma idi. Bu, yeni texnologiyanın öyrənilməsi zamanı tam bir kor sahə idi və əminəm ki, başqaları da eyni səhvi edir," – deyə texnologiya sahəsində layihə meneceri Starr bildirdi.

Starr problemi aradan qaldırdı, amma onun kimi çoxları var. Sosial mediada vibe kodlaşdırılan tətbiqlərin təhlükəsizlik çatışmazlıqları ilə dolu olduğu ilə bağlı hekayələr yayılıb. PocketOS-un yaradıcısı Jer Kreyne X-da süni intellekt kodlaşdırma agentinin şirkətin istehsal bazasını sildiyini paylaşıb. Müxtəlif inkişafçılar və sahibkarlar şəxsi tətbiqlərdə şəbəkə təhlükəsizliyi baxımından problemlərlə üzləşiblər, nəticədə bəzi tətbiqlər istifadədən çıxarılıb.

"The Verge"un David Pirsin sözlərinə görə, biz "şəxsi proqram dövrünə" daxil olmuşuq, burada hər kəs süni intellektdən istifadə edərək öz istədiyi funksiyaları təmin edən özəl tətbiqlər yaradıb. Lakin bu, yeni təhlükəsizlik problemləri dövrünü də gətirib. Tətbiqlər asan qurula bilər, amma onların qorunması çətindir – xüsusən də süni intellektin onlara hücum üçün istifadə oluna bildiyi mühitdə.

"Vibe kodlaşdırma pis deyil, çünki həvəskarlar proqram yarada bilir – bu, əslində yaxşıdır" – deyə SI əsaslı kibertəhlükəsizlik şirkəti "SentinelOne"da alim Qabriel Bernadett-Şapiro vurğulayıb.

Əsas təhlükə, şəxsi tətbiqin biznes proqramına çevrilməsi və ortaq, hostinqdə saxlanan məlumatların olmasıdır, amma bu keçid adi istifadəçilər tərəfindən fərq edilmir. Əgər vibe kodlaşdırma, məsələn, gündəlik sağlamlıq, yemək və ya paketin çatdırılması kimi şəxsi tətbiqlərdən müştəri qeydiyyatı, tibbi və maliyyə məlumatları idarə edən proqramlara keçirsə, təhlükəsizlik standartları yüksəlməlidir.

"Bu tip tətbiqlər xüsusi standartlara tabe olmalıdırlar, hətta tək bir nəfər tərəfindən bir neçə saatda yaradılmış olsa belə. Başqa insanların şəxsi məlumatlarına toxunan andan təhlükəsizlik qaydaları dəyişir," – Bernadett-Şapiro əlavə edib.

"Corridor" təhlükəsizlik platformasının baş direktoru Cek Keybl da eyni fikirdədir.

"Vibe kodlaşdırma aşağı riskli tətbiqlər üçün əlverişlidir," – deyə Keybl bildirir, məsələn, prototip və ya böyük həssaslığı olmayan fitness izləyicisi kimi. Amma maliyyə qeydləri və ictimai internetə açıq məlumatlar daha ciddi nəzarət tələb edir. "Özünüzün və ya başqalarının məlumatlarını o mühitə açıq qoymusunuzmu? Hər zaman təhlükə modelini düşünün və işlədiyiniz şeyin təhlükəsizliyindən əmin deyilsinizsə, ehtiyatlı olun," – deyə çağırış edir.

Məsələn, "Privy" kripto cüzdan şirkətinin əməliyyat direktoru Maks Segall uşağı ilə qaçış zamanı ona hər dəfə 10 dollar qədər Ethereum mükafatı verən zövqlü vibe kodlaşdırma layihəsini işə saldıqdan sonra həmkarı təsadüfən tətbiqdə istifadəçi hesablarını dəyişdirməyə imkan verəcək kritik boşluq tapıb və onu istifadəyə verməmiş düzəldib.

Yanvarın sonunda isə inkişafçı Matt Şlikht süni intellekt agentləri üçün tamamilə hazırlanmış viral sosial şəbəkə Moltbook-un kodunu yazmayaraq istifadəyə verib. Təhlükəsizlik şirkəti Wiz tətbiqin bütün istehsal məlumat bazasının açıq olduğunu tapıb. Bu, on minlərlə istifadəçi poçt ünvanlarını və özəl mesajları ifşa etmişdi. Problemlər aradan qaldırılıb, lakin "Wired" maqazini xəbər verib ki, "Red Access" təhlükəsizlik firması vibe kodlaşdırma alətləri ilə yaradılan 5 minə yaxın tətbiqin heç bir autentifikasiya sisteminin olmamasını və 2 mininin yüksək həssas məlumat sızdırdığını aşkar edib. Bu məlumatlar arasında tibbi, maliyyə və strategiya sənədləri, eləcə də chatbot söhbətlərinin qeydləri var.

Əslində, peşəkar hazırlanmış əvvəlki proqramların da yetərincə zəif təhlükəsizliyə malik olması faktı mövcuddur. Lakin vibe kodlaşdırmanın artırdığı tətbiq sayı ilə təhlükəsizlik problemlərinin sürətlə artacağı gözlənilir. Bununla yanaşı, istifadəçilər AI-nin kodun təhlükəsiz olduğunu dedikdə ona böyük dərəcədə inanırlar, bu da təhlil edilməmiş təhlükəyə yol açır.

Adi vibe kodlaşdırma prosesində təhlükəsizlik yoxlamaları avtomatik həyata keçirilmir, istifadəçi təhlükəsizlik skanını əl ilə işə salmalıdır. "Claude Code" kimi alətlərdə təhlükəsizlik yoxlaması üçün əl ilə /security-review əmri verilməlidir. OpenAI-nin kodlaşdırma agenti Codex təhlükəsizlik yoxlamalarını avtomatik həyata keçirir, amma bu, real versiya-idarəetmə workflow-ları üçün nəzərdə tutulub, adi söhbət əsasında yaranan tətbiqlər üçün deyil.

"Kibertəhlükəsizliyin çox hissəsi kontekstdən asılıdır," – deyə Keybl bildirir. Ona görə də kodlaşdırma agentinin yoxlaması olsa belə, təhlükəsizliklə bağlı yanlış hisslərə qapılmamaq vacibdir, xüsusən agent təhlükə modelinizi anlamırsa və ya düzgün göstəriş verməmisinizsə.

Bernadett-Şapiro-nun əsas narahatlığı AI tərəfindən yaradılan kodun səhvləri yox, autentifikasiyanın olmamasıdır. O, vibe tətbiqlərinin lokal mühitdən buluda keçidində konfiqurasiyaların düzgün başa düşülməməsindən əsas təhlükənin yarandığını qeyd edir. Lokal işləyən tətbiqlərin buluda qoyulması gizli məlumatların küçədə açıq qutunun qalması kimi təhlükələrə yol açır, bu da mütəxəssislər tərəfindən tez-tez aşkarlanır.

AI səhvləri tapmaqda yaxşıdır və xüsusən Mythos kimi modellər zəiflikləri tapmaqda fərqlənir. Bernadett-Şapiro GPT-5.5-Cyber kimi modellərin yüksək səviyyəli təhlükəsizlik qiymətləndirməsi apara bildiyini, lakin insanların təhlükəsizlik kompromislərini anlamaqda və xəbərdarlıqları qəbul etməməkdə çətinlik çəkdiyini vurğulayıb.

Web təhlükəsizliyi üzrə qeyri-kommersiya təşkilatı OWASP təşkilatları üçün nəzərdə tutulmuş AI təhlükəsizlik təsdiq standartını nəşr edib. Trail of Bits kimi şirkətlər isə kodlaşdırma agentlərinə təhlükəsizlik tapşırıqları verən əlavə paketləri təqdim edir. Ancaq belə "bacarıqlar" inkişaf prosesinə rahat daxil olmur, yenilənməsi çətindir və pis niyyətli bacarıqlar da mövcuddur.

Bu sahədə başlanğıc infrastrukturlar mövcuddur, amma vibe kodlaşdırma ilə yaranan təhlükəsizlik riskləri ciddi diqqət tələb edir.