Γιατί ο Κώδικας από AI Χρειάζεται Ανθρώπινη Εξέταση (Και Γιατί Αυτό Είναι Καλά)

Η ανάπτυξη λογισμικού αλλάζει γρήγορα. Εργαλεία όπως Claude και ChatGPT μετατρέπουν ιδέες σε έτοιμο κώδικα μέσα σε μέρες. Περιγράφεις λειτουργία, δέχεσαι αλλαγές, βελτιώνεις και ανεβάζεις. Η ταχύτητα είναι πραγματικά επαναστατική.

Υπάρχει όμως παγίδα.

Πρόσφατα εξέτασα κώδικα από τέτοια διαδικασία. Ένα απλό εσωτερικό εργαλείο, τίποτα κρίσιμο. Βρήκα 28 προβλήματα. Κυρίως ασφαλείας. Σχεδόν όλα από κατηγορίες OWASP Top 10, γνωστές από τις αρχές του 2000.

Δεν φταίει το AI ότι είναι επικίνδυνο. Η ταχύτητα υπερβαίνει τη σκέψη που αποτρέπει προβλήματα.

Δεν Φταίει το AI, αλλά η Ερώτηση που Ξέχασες

Ο κώδικας ήταν καλός. Καλή αρχιτεκτονική. Λογικές επιλογές βιβλιοθηκών. Αν τον έγραφα εγώ σε ένα Σαββατοκύριακο, θα έμοιαζε ίδιος.

Το πρόβλημα κρύβεται πίσω από τις γραμμές. Στα βήματα πριν τον πρώτο κώδικα.

Το AI εκτελεί ακριβώς ό,τι ζητάς. "Φτιάξε σύστημα χρηστών" και παίρνεις σύστημα χρηστών. Δεν ρωτάει μόνο του: Ποιος έχει πρόσβαση; Ποια δεδομένα είναι ευαίσθητα; Πού είναι η ταυτοποίηση; Τι γίνεται αν κάποιος παρακάμψει το frontend;

Δίνει λειτουργίες. Όχι ασφαλή δομή που σε αφήνει να κοιμηθείς ήσυχος.

Παράδειγμα: Η Ανοχύρωτη Λειτουργία Admin

Φαντάσου serverless function για admin εργασίες. Δημιουργία χρηστών, reset κωδικών, διαγραφή λογαριασμών. Τα credentials μένουν server-side, σωστά.

Χωρίς έλεγχο ταυτοποίησης. Καθόλου.

Όποιος ανοίξει DevTools, βρει το URL και στείλει POST, γίνεται admin. Δημιουργεί, σβήνει, καταστρέφει.

Το frontend κρύβει το κουμπί από μη admins. Λογικό. Αλλά άχρηστο. Η ασφάλεια μέσω UI είναι ψευδαίσθηση.

Κλασικό bypass εξουσιοδότησης, γνωστό από το 2003. Το AI δεν το πρόσεξε γιατί το prompt ήταν "φτιάξε function για admins να δημιουργούν χρήστες". Το έκανε. Δεν είπαμε να εμποδίσει μη admins.

Το AI δεν ξέρει τι ξέχασες να πεις.

Η Βάση Δεδομένων που Ήταν "Ασφαλής" Θεωρητικά

Η βάση σου έχει row-level security (RLS). Περιορίζει πρόσβαση βάσει ταυτότητας. Ιδανικό όταν στέλνεις API key στο JavaScript.

Ζήτησες multi-user support. Το AI έφτιαξε migrations για νέα tables με RLS. Τέλεια.

Οι πέντε παλιές tables με τα δεδομένα σου; Αγνοήθηκαν. Ίσως είχαν RLS, ίσως όχι. Δεν ελέγχθηκε, δεν ενεργοποιήθηκε.

Σε νέα υποδομή, νέα tables κλειδωμένα, παλιές ανοιχτές σε όποιον ξέρει το endpoint.

Το AI έλυσε το στενό πρόβλημα. Δεν ρώτησε αν θες προστασία παντού.

Τι Σημαίνει για τη Διαδικασία σου

Δεν λέω να σταματήσεις το AI. Η ταχύτητα μετράει. Αλλά χρειάζεσαι έμπειρους να ελέγχουν αρχιτεκτονική, όχι μόνο syntax.

Τι δουλεύει:

Δημιούργησε checklist ασφαλείας πριν ξεκινήσεις. Ποιος καλεί το endpoint; Τι γίνεται χωρίς άδεια; Είναι τα δεδομένα δημόσια; Χρειάζονται RLS όλες οι tables; Γράψ' τα.

Ανώτεροι developers κάνουν threat modeling. Όχι γραμμή-γραμμή. Τα προβλήματα ήταν δομικά. AI για κώδικα, άνθρωποι για σκέψη ασφαλείας.

Κάνε auth/authz ξεκάθαρα στα prompts. Όχι "φτιάξε endpoint χρηστών". Πες "φτιάξε endpoint μόνο για logged-in admin, και εξήγησε τις υποθέσεις auth".

Δοκίμασε εξουσιοδότηση ξεχωριστά. Tests που δείχνουν ότι μη εξουσιοδοτημένοι δεν μπορούν να κάνουν κάτι.

Το Κλειδί που Πρέπει να Καταλάβεις

Το AI παράγει ακριβώς ό,τι ζητάς. Δεν προειδοποιεί για ό,τι ξεχνάς.

Αυτό είναι πλεονέκτημα. Δεν εφευρίσκει απαιτήσεις. Αλλά η ευθύνη πέφτει σε σένα. Το AI εκτελεί τις αποφάσεις σου.

Στον κώδικα που είδα, ένας άνθρωπος είπε "θέλει auth". Διορθώθηκε σε λεπτά. Η παλιά ευπάθεια συνάντησε νέα ταχύτητα – και κέρδισε η ταχύτητα, με ανθρώπινη προσοχή.

Μοντέλο για τα επόμενα χρόνια: AI για ταχύτητα, άνθρωποι για δομή. Και τα δύο απαραίτητα.

Θες να αποφύγεις τέτοια σε δικό σου project; Στο NameOcean βλέπουμε startups να παλεύουν με τεχνικό χρέος από γρήγορα deployments. Η πλατφόρμα cloud hosting μας έχει ενσωματωμένη ασφάλεια: rate limiting, API key management, audit logging. Δουλεύουν πάντα, χωρίς να τα θυμάσαι. Λιγότερα άγχη όταν πας γρήγορα.