یک داستان ترسناک و واقعی راجع به برنامه‌نویسی نرم‌افزار با هوش مصنوعی!

تا به حال پیش آمده بخواهید برای کسب‌وکار خود یک سایت یا اپلیکیشن ساده بسازید، اما برنامه‌نویسی بلد نباشید؟ این روزها هوش مصنوعی قول می‌دهد که با چند خط دستور ساده، همه‌چیز را برایتان طراحی می‌کند. اما آیا همه‌چیز همانقدر که به نظر می‌رسد رویایی است؟

سپردن صفر تا صد برنامه‌نویسی به هوش مصنوعی بدون داشتن دانش فنی، که به آن «وایب کدینگ» (Vibe Coding) می‌گویند، در حال خلق یک فاجعه‌ی امنیتی خاموش است. در این روش، افراد غیرمتخصص ممکن است سیستم‌هایی بسازند که به دلیل ضعف در مدیریت دسترسی‌ها، تنظیمات ناقص دیتابیس و معماری امنیتی بیش از حد ساده، اطلاعات حساس کاربران را در معرض دسترسی غیرمجاز قرار دهند.

بررسی یک داستان واقعی؛ سیستم مدیریت بیماران

در این ماجرا، یک نفر بعد از دیدن ویدیوهایی راجع به سادگی ساخت نرم‌افزار با هوش مصنوعی، تصمیم گرفت به‌جای استفاده از راهکارهای استاندارد و تثبیت‌شده، برای محل کار خود یک «سیستم مدیریت بیمار» بسازد.

او با کمک یک عامل کدنویسی هوش مصنوعی، برنامه‌اش را ساخت، اطلاعات بیماران را به آن منتقل کرد و حتی قابلیتی افزود که گفت‌وگوهای جلسات را ضبط می‌کرد و برای خلاصه‌سازی خودکار به چند سرویس هوش مصنوعی دیگر می‌فرستاد.

از بیرون همه‌چیز سریع، مدرن و کارآمد به نظر می‌رسید؛ اما در واقع، سیستمی ساخته شده بود که از اساس امن نبود.

پایگاه‌های داده‌ای که بی‌دفاع می‌مانند

وقتی یک پژوهشگر مستقل این برنامه را بررسی کرد، مشخص شد مشکل فقط یک یا دو باگ ساده نیست. راوی این ماجرا می‌گوید ظرف حدود ۳۰ دقیقه توانست دسترسی کامل به داده‌های بیماران پیدا کند.

فاجعه‌ی اصلی، ساختار کدها بود. در این نمونه، کل برنامه عملاً یک فایل ساد‌ه‌ی HTML بود و منطق «کنترل سطح دسترسی» درون جاوا اسکریپت و در سمت رایانه‌ی کاربر (Client-side) پیاده شده بود. این یعنی هرکسی با یک فرمان ساده‌ می‌تواند به اطلاعات محرمانه‌ی بیماران دسترسی پیدا کند.

از آن طرف، پایگاه داده هم تقریباً بدون کنترل دسترسی مؤثر و بدون لایه‌های امنیتی پایه رها شده بود.

چرا این اتفاق خطرناک‌تر از چیزی است که به نظر می‌رسد؟

وقتی افراد غیرمتخصص با کمک هوش مصنوعی نرم‌افزار می‌سازند، معمولاً ظاهر برنامه آن‌قدر قابل‌ قبول هست که حس امنیت کاذب بدهد. فرم‌ها کار می‌کنند، اطلاعات ذخیره می‌شوند، دکمه‌ها پاسخ می‌دهند و شاید حتی چند قابلیت جذاب هم به برنامه اضافه شده باشد؛ اما پشت این ظاهر مرتب، ممکن است هیچ‌ معماری امنیتی قابل اتکایی وجود نداشته باشد.

خطر نرم‌افزارهای ساخته‌شده با هوش مصنوعی فقط دزدی هکرها نیست. گاهی سازنده‌ی برنامه اصلاً روحش هم خبر ندارد که سیستم دست‌ساز خودش، در حال نقض حریم خصوصی کاربران است!

در آخر: وقتی هوش مصنوعی هم درد است و هم درمان!

دردناک‌ترین قسمت ماجرا اینجاست که وقتی این رخنه‌های امنیتی به سازنده‌ی برنامه گزارش می‌شود، او برای رفع مشکل دوباره دست‌به‌دامن همان هوش مصنوعی می‌شود!

این راه‌حل دقیقاً مانند یک مسکن موقت است که مشکلات پایه‌ای را درمان نمی‌کند. تا زمانی که ساختار برنامه از ریشه اصلاح نشود، سیستم از اساس آسیب‌پذیر می‌ماند و سازنده صرفاً در توهم برقراری امنیت به سر می‌برد.

آینده‌ی دنیای نرم‌افزار بدون‌شک با هوش مصنوعی گره خورده است؛ اما استفاده‌ی چشم‌بسته از این ابزارها بدون درک الفبای امنیت، ما را به سمت یک کابوس سایبری می‌کشاند.

هوش مصنوعی می‌تواند یک دستیار عالی برای توسعه نرم‌افزار باشد، اما وقتی کسی کد را نمی‌فهمد، معماری را نمی‌شناسد و محصول نهایی را بدون بررسی تخصصی منتشر می‌کند، همین میانبر ظاهراً هوشمند می‌تواند به یک فاجعه واقعی تبدیل شود.