رشد سریع «وایب کدینگ» (Vibe Coding) امکان تولید اپلیکیشن را برای کاربران غیرمتخصص فراهم کرده است. اکنون افرادی مانند بازاریابها، بنیانگذاران استارتاپها یا کارآموزان میتوانند بدون دانش برنامهنویسی، ایده خود را به زبان ساده توضیح دهند و در مدت کوتاهی اپلیکیشن بسازند. اما یافتههای جدید نشان میدهد این سرعت بالا میتواند هزینه امنیتی قابلتوجهی داشته باشد.
براساس گزارشی که Wired به نقل از شرکت امنیت سایبری RedAccess منتشر کرده، پژوهشگران این شرکت حدود ۵ هزار اپلیکیشن تحت وب ساختهشده با ابزارهای محبوبی مانند Lovable ،Replit و Netlify را شناسایی کردهاند که تقریباً هیچ لایه امنیتی مؤثری ندارند. در بسیاری از موارد، این اپها توسط گوگل ایندکس شده بودند؛ یعنی کاربران عادی نیز میتوانستند با جستجو به اطلاعات حساس شرکتها دسترسی پیدا کنند.
دادههای افشاشده شامل مواردی مانند برنامه کاری بیمارستانها، استراتژیهای ورود به بازار، سوابق فروش و حتی گفتگوهای مربوط به بیماران بوده است. مسئله اصلی این است که بسیاری از کاربران این ابزارها با مفاهیم پایهای امنیت نرمافزار، مانند احراز هویت، دسترسی خصوصی یا محدودسازی نمایش عمومی اطلاعات، آشنایی ندارند.
شرکتهای ارائهدهنده این پلتفرمها اما نگاه متفاوتی به موضوع دارند. Replit و Wix که در زمینه ساخت وبسایت و صفحات شخصی فعالیت دارند، میگویند اگر یک اپلیکیشن عمومی است، دلیل آن انتخاب کاربر بوده. از نظر این شرکتها، وجود یک آدرس عمومی برای اپلیکیشن بهخودیخود «نشت امنیتی» محسوب نمیشود، بلکه رفتاری مورد انتظار برای ابزاری است که با هدف اشتراکگذاری محتوا طراحی شده است.
دلیل آسیبپذیری سرویسهای وایب کدینگ
بااینحال کارشناسان امنیتی نظر دیگری دارند و میگویند وقتی ابزاری برای کاربران غیرمتخصص عرضه میشود، تنظیمات پیشفرض آن عملاً به مدل امنیتی استاندارد محصول تبدیل میشود. اگر حالت پیشفرض «عمومی» باشد، کاربری که معماری وب را نمیشناسد ممکن است ناخواسته دادهها را در معرض دید همه قرار دهد.
این روند شکل تازهای از مفهوم «Shadow IT» یا «فناوری اطلاعات در سایه» را ایجاد کرده است؛ مفهومی که به استفاده از ابزارها و سرویسهای فناوری، بدون اطلاع یا نظارت رسمی تیم فناوری اطلاعات، اشاره دارد. در این مورد، کارمندان با کمک هوش مصنوعی ابزارهایی مانند سیستم پیگیری فروش، پورتال مشتریان یا صفحات گزارشگیری میسازند. این ابزارها ممکن است در ابتدا فقط برای آزمایشی سریع ساخته شده باشند، اما بهمرور به سامانههای غیررسمی عملیاتی تبدیل شوند و دادههای واقعی مشتریان یا سوابق مالی سازمان را روی وب در دسترس عموم قرار دهند.
وایب کدینگ بهدلیل سرعت و کارایی بالای خود مورد توجه زیادی قرار گرفته است و استفاده از آن احتمالاً متوقف نخواهد شد. بااینحال کارشناسان میگویند در مرحله بعدی توسعه ابزارهای هوش مصنوعی باید ایمنی کنار سرعت قرار بگیرد. یکی از پیشنهادها این است که اپلیکیشنهای ساختهشده با این پلتفرمها بهصورت پیشفرض خصوصی باشند و هنگام اتصال به منابع داده حساس، هشدارهای واضحتری به کاربر نمایش داده شود.
