Его сайт от ИИ месяцами стоял с дырой
Билдер собрал сайт через ИИ — а внутри месяцами зияла дыра, через которую можно было лезть прямо в его базу данных. И таких историй уже целый ряд.
Евгений Арсентьев · PhDBob Starr, проджект-менеджер из ИТ, собрал сайт под названием Boomberg — он показывал, сколько денег налогоплательщиков США уходит технологическим компаниям, — и выложил его в интернет сразу, как доделал. Прошли месяцы, прежде чем он понял: сайт всё это время работал с дырой в безопасности (SQL-инъекцией) — лазейкой, через которую посторонний мог залезть прямо в базу данных за сайтом и читать или менять данные, которые ему трогать вообще не полагалось. Он назвал это «полным слепым пятном на моём уровне освоения этой новой технологии».
Тревожно тут не то, что ИИ написал плохой код. А то, что ИИ выдал штуку, которая выглядела готовой и в демо работала прекрасно, но тихо оставила открытую дверь, которую сам автор не видел. Это и есть главная ловушка новой «эпохи личного софта», где не-инженер может просто описать приложение, а модель его соберёт: разрыв между «оно запускается» и «оно безопасно» не виден, пока кто-то недобрый не придёт его искать.
Это не один невезучий человек
История Starr бьёт сильнее потому, что она не единичная. У Jer Crane, основателя PocketOS, ИИ-агент по коду снёс рабочую базу данных компании. Билдер Joe Procopio собрал через ИИ веб-приложение для закрытых демо; хакеры разломали его так, что он сдался и вернулся к показу «по старинке — со своего ноутбука через Zoom». Три разных билдера, три разных способа, которыми их укусило одно и то же слепое пятно: данные утекли, данные уничтожили, приложение долбили, пока его не пришлось снять.
Почему это важно для тебя
Если ты собираешь продукт, описывая ИИ, чего хочешь, — это и твоя история. Самая частая дыра во всём этом жанре — та самая, что поймала Starr: поле ввода на твоём сайте, которое на самом деле открытая дверь в базу. Человек вписывает туда не имя, а команду, и база послушно её выполняет — отдаёт записи или стирает их. Модель спокойно выдаст такое без всякого предупреждения, потому что «сделать, чтобы работало» и «сделать безопасно» — это две разные задачи, а ты просил только первую.
Моя мысль: проблема не в вайб-кодинге, и никто тут не сделал глупость. Спасает привычка, а не диплом. Считай, что «работает» — это половина пути, а не финиш, и исходи из того, что дыра есть, пока сам её не поискал.
Перед тем как выложить собранное через ИИ приложение в открытый интернет, отдельной просьбой скажи ИИ: «найди здесь дыры в безопасности и закрой их» — и особенно нацель его на всё, где есть вход, оплата или чужие данные. Держи демо у себя на компьютере, пока не сделаешь этот проход. Это пять минут, которые лучше утечки, которую заметишь только через месяцы.
Гайды по теме
Автор
Евгений Арсентьев
PhD · Директор по продукту (CPO) в tech-компании
Хочешь реально это построить?
Гайды объясняют. Бесплатный курс превращает — персонально, с геймификацией и заточенный на быстрый запуск.
◉ Начать бесплатный курсИсточник: theverge.com