„Vibe coding“ ускорява разработката на софтуер и позволява дори на хора без опит в програмирането да създават собствени приложения. Експертите по киберсигурност обаче не вярват, че технологията ще доведе до лавина от AI-генериран зловреден код. По-големият риск според тях идва от друго – бързото появяване на огромен брой нови приложения и услуги, чието ниво на сигурност често остава неясно, предупредиха експерти по време на форума за киберсигурност InfoSec SEE 2026, организиран от КОМПЮТЪР 2000 България в Правец.
Изкуственият интелект постепенно променя начина, по който се създава софтуер. Така нареченият „vibe coding“ – практика, при която разработчикът описва на естествен език какво иска, а AI генерира голяма част от кода – започва да се разглежда като следващата голяма трансформация в ИТ индустрията. Това е предизвикателство киберсигурността. Дали тази трансформация няма да отвори и нова глава в кибервойните?
Нова сила във всякакви ръце
Технологията вече демократизира достъпа до възможности, които доскоро бяха концентрирани основно в големи компании и специализирани екипи, казва Мо Кашман, старши лидер киберсигурност в Trellix. AI инструментите потенциално могат да увеличат разрушителния капацитет на хора без сериозни технически знания.
„Създава се своеобразна инверсия на силата. Преди този тип знания [за създаване на софтуер – б.р.] бяха концентрирани в големи компании и специализирани екипи. Сега възможностите за програмиране са достъпни за всеки. А когато липсват контролни механизми, последствията могат да бъдат разрушителни и с непредвидим ефект“, опасява се Кашман.
Той предупреждава, че проблемът не е в самата технология. Рискът идва от комбинацията между леснодостъпни AI инструменти и липсата на достатъчно компетентност у хората, които ги използват. „Радиусът на поражение нараства, когато хората нямат достатъчно познание и действат безконтролно“, подчертава експертът.
Надали ще роди нови кибератаки
И все пак е малко вероятно vibe coding да се окаже в центъра на създаването на нови кибератаки – поне не и директно.
„Не е толкова лесно да се създаде код, който реално да пробие дадена ИТ система. Не е толкова лесно да се създаде зловреден код“, категорична е Ева Пуерта – експерт с 10-годишен опит като CISO в една от най-големите банки в света Banco Santander, а понастоящем полеви CISO за Европа, Средния изток и Азия в Check Point Software. Убедена е, че AI няма да намери място в арсенала за създаване на „качествен рансъмуер, който да работи ефективно“.
„Дори когато използвате AI за писане на код, не е лесно той действително да заработи. Това изисква много сериозни познания. Вече имаме рансъмуер като услуга – има хора, които знаят как се прави подобен софтуер, и го продават на други. При това положение не вярвам, че vibe coding ще помогне за създаване на достатъчно сложен код за успешна атака срещу компания“, допълва тя.
Реалните инциденти в кибесигурността засега не потвърждават страховете от масово използване на AI за създаване на опасен зловреден код, потвърждава Майк Харт, ръководител на отдела за сигурност на Google Cloud за Централна и Източна Европа/Алпи в Google Cloud.
„Не сме наблюдавали значими пробиви, породени от зловреден код, генериран с AI. Има изолирани случаи, но не става дума за мащаб, какъвто бихме очаквали, ако технологията беше толкова революционна за атакуващите“, казва Харт.
Съвременните системи за защита вече използват динамични механизми за откриване на заплахи. Според Харт, реалният проблем продължава да бъде класическата липса на базова киберхигиена. „Проблемът често е много по-елементарен. Отворени системи. Слаби пароли. Липса на многофакторна автентикация. Въобще – базовите неща“, казва той.
По думите му, индустрията продължава да подценява основните мерки за сигурност, докато вниманието се насочва към AI заплахите.
„Има прекалено много шумотевица около AI и влиянието му върху атаките. Вместо това трябва да насочим повече внимание върху намаляването на атакуемата повърхност,“ допълва Кашман.
„Vibe coding е точно това, което подсказва името – vibe. То е за начинаещи, за хора, които нямат сериозни познания по програмиране, но искат да създадат нещо“, коментира Ева Абергейл, старши мениджър продуктов маркетинг в Radware.
Абергейл дава пример с възрастни хора, които използват AI инструменти, за да си създават игри, както и с бизнес потребители, които сами генерират дашборди, вместо да чакат месеци за разработка. „Това е мястото, където виждаме най-голямата ефективност на vibe coding – бързи вътрешни инструменти, дашборди, игри, малки приложения“, споделя тя.
Колко сигурен е този код
По-големият ефект от „vibe coding“ вероятно ще е друг: никой не знае колко сигурен ще е кодът, генериран с такива приложения. Именно тук експертите виждат по-сериозен риск.
AI инструментите вече позволяват много бързо създаване на функционалности, но сигурността на този код често остава под въпрос, казва Фран Гомес, архитект софтуерни решения в Industrial Defender – компания, специализирана в технологиите за сигурност на индустриални съоръжения и оперативни технологии.
„В момента vibe coding позволява да създадете функционалност много бързо, но резултатът невинаги е сигурен код. Пускате нещо и то става готово бързо, но то може да се окаже уязвимо и податливо на злоупотреби“, казва той.
Гомес очаква ситуацията да се подобрява с развитието на AI инструментите за анализ на уязвимости, включително такива като Mythos. Засега обаче – според него – технологията е по-подходяща за прототипиране, отколкото за сериозни системи.
„Страхотно е за прототипиране. Но ако ще се използва за нещо по-сериозно, все още имаме нужда от участието на старши разработчик в процеса на създаване на приложението“, подчертава той.
Ролята на хората
Споделеното от Гомес поставя обаче друг сериозен въпрос пред индустрията – как ще се създават бъдещите експерти. Вече се забелязва как AI започва да поема голяма част от задачите на младшите разработчици, а също и на анализаторите. При това положение не след дълго компаниите могат да се окажат без достатъчно хора, които да са натрупали необходимия практически опит, за да могат впоследствие да поемат ролята на старши специалисти.
„Ролите на младшите специалисти изглежда са почти превзети от AI. Ако не направим нещо по въпроса, скоро ще се окаже неимоверно трудно да развиваме таланта и експертизата, която по-късно ще ни трябва, за да контролираме този код“, предупреждава Гомес.
