Эксперт Арышев: vibe coding создает иллюзию компетентности и новые риски для бизнеса
Изображение: grok
Владимир Арышев, эксперт по комплексным проектам информационной безопасности компании STEP LOGIC, прокомментировал для CISOCLUB рост числа уязвимых AI-приложений, созданных с помощью vibe coding платформ. По его словам, основная проблема заключается в доступности таких инструментов для пользователей без опыта разработки и понимания принципов безопасности.
«Vibe coding — достаточно простой и удобный инструмент для создания приложений, он не требует глубоких навыков разработки, что в итоге и создает проблему. Маркетолог или менеджер за выходные собирает рабочий инструмент, но он не знает, что такое ролевой доступ, зачем нужна аутентификация, почему публичный URL сразу попадает в поисковик», — отметил Владимир Арышев.
Эксперт подчеркнул, что многие пользователи воспринимают создание работающего приложения как подтверждение собственной технической компетенции, не осознавая связанных с этим рисков.
«Пользователь не имеет представления о безопасности и не учитывает ее требования при разработке. Создается иллюзия компетентности, которая приводит к появлению уязвимых приложений», — заявил он.
По словам Владимира Арышева, разработчики платформ сделали ставку на максимально простой пользовательский опыт и быстрый результат, что оказалось эффективным с точки зрения распространения технологии.
«Вендоры vibe coding платформ с точки зрения маркетинга сделали всё правильно: низкий порог входа, мгновенный результат», — подчеркнул эксперт.
Он отметил, что в результате появляются сервисы, которые содержат открытые данные и фактически не требуют сложного взлома со стороны злоумышленников.
«На выходе получается готовое приложение, которое даже не требуется взламывать, оно само расскажет всю информацию», — заявил Владимир Арышев.
Эксперт считает, что компаниям необходимо воспринимать подобные инструменты как часть общей поверхности атаки и учитывать их в корпоративной модели безопасности.
«Бизнесу важно понять: любое приложение или рабочий инструмент, созданный сотрудником в обход корпоративных процессов, — это потенциальная дыра в безопасности и ее необходимо учитывать», — заключил он.
