هشدار جدی درباره کدنویسی با هوش مصنوعی

با گسترش استفاده از دستیارهای هوش مصنوعی در توسعه نرم‌افزار، پژوهش‌های جدید نشان می‌دهند سرعت تولید کد تضمین‌کننده اما کیفیت و امنیت آن نیست و همچنان چالش‌های جدی در این زمینه وجود دارد.  

گفتنی است، مدل‌های زبانی حالا بخش زیادی از کدنویسی، از رِفَکتور تا ساخت کامل اپلیکیشن، را انجام می‌دهند؛ اما آسیب‌پذیری‌های سنتی نرم‌افزار اکنون با خطاهای خاص مدل‌های هوش مصنوعی ترکیب شده و همین موضوع تقریباً هر هفته مشکلات تازه‌ای ایجاد می‌کند.

مطالعات Veracode نشان می‌دهد اگرچه مدل‌های امروزی در ۹۰ درصد موارد کد بدون خطا تولید می‌کنند، ۴۵ درصد خروجی آن‌ها همچنان شامل ضعف‌های کلاسیک OWASP است. گزارش ویز نیز تأیید می‌کند که ۲۰ درصد اپلیکیشن‌های وایب‌کدنویسی‌شده دارای باگ‌های جدی هستند.

 نمونه‌هایی مانند استارتاپ Enrichlead که ۱۰۰ درصد کد خود را با Cursor AI نوشته بود و پس از کشف نقص‌های امنیتی تعطیل شد، نشان می‌دهد اعتماد کامل به خروجی مدل‌ها می‌تواند خسارت‌بار باشد.

به گفته پژوهشگران رایج‌ترین ضعف‌ها همچنان شامل نبود اعتبارسنجی ورودی، افشای کلیدهای API، احراز هویت ناقص، استفاده از توابع خطرناک، کتابخانه‌های قدیمی و حتی پیکربندی اشتباه دیتابیس‌ها است. برخی رخدادهای اخیر مانند نفوذ به پلتفرم Nx یا آسیب‌پذیری Base44 نیز ثابت می‌کند که خطر فقط در کد نیست؛ بلکه در پلتفرم‌های اجرای اپلیکیشن و حتی ابزارهای توسعه AI نیز وجود دارد.

برخی پژوهش‌ها نشان‌دهنده آن است که بازنویسی‌های متعدد توسط مدل‌ها امنیت کد را کاهش می‌دهد و پرومپت‌های مبهم، زمینه‌ساز تولید کد آسیب‌پذیرتر می‌شوند. در صنایع حساس مثل مالی یا درمانی نیز «کمبود عمق» مدل‌ها سبب نادیده‌گرفتن الزامات قانونی می‌شود.

کارشناسان تأکید دارند که کاهش ریسک تنها با ترکیبی از اقدامات تکنیکی و سازمانی ممکن است: بررسی خودکار کد با ابزارهای SAST، تعریف الزامات امنیتی در پرومپت‌های سیستمی، بازبینی انسانی متخصص و آموزش توسعه‌دهندگان برای استفاده امن‌تر از AI.