AI-kódolás valóságcheckje: a biztonság falába ütközik

Április utolsó hete 2026-ban keményen helyre tette az AI-segített fejlesztőket. Létrehoztunk valami gyorsat és erőset, de a biztonság még mindig le van maradva. Öt nagy bejelentés és kutatás mutatta meg: az innováció száguld, a biztonsági adósság pedig felhalmozódik.

A riasztó stat

Kezdjük a legfontosabb számmal: a valós appok 20%-a, amit AI-kódoló eszközökkel építettek, komoly biztonsági hibát tartalmaz. Ez nem elmélet – ez élesben fut, állítja a Wiz kutatása a Google Cloud Next-en.

Mit jelent a "komoly"? Feltört hozzáférés-vezérlés, kitett adatvégpontok, kódba szivárgó hitelesítő adata. Ezrek érintettek, mert az AI "párprogramozó" csendben örökölte ezeket.

Ráadásul ez a 20% még optimista lehet. Független kutatások szerint a valóság rosszabb.

A benchmark sokk: 23,8%

A SecureVibeBench hét eleji tanulmánya 105 kódolási feladatot vett az OSS-Fuzz valós biztonsági hibáiból. A feladat: oldd meg, de kerüld el pontosan azt a hibát, ami CVE-t okozott.

Öt AI-ügynök próbálkozott: OpenHands, Claude Sonnet 4.5 és mások. A legjobb: 23,8% működő és biztonságos kód.

Tehát 76,2%-ban vagy nem működött, vagy visszahozta a régi hibát, vagy mindkettő.

Ez nem csapda. Valódi fuzzingot használtak dinamikus elemzéssel, nem csak statikus lintert. Kimutatták a tipikus CVE-ket: integer overflow, buffer hiba, race condition.

Mi okozza a szakadékot

A hét bejelentéseiben minta van. A Wiz az IDE-be épít szkennert. A Red Gate öt hibamintát sorol fel AI-generált adatbázis-kódban, példaként a Replit éles adatbázis-törlését hozza. A Lovable bevallja: saját kódja 10%-ban hibás.

Nem tagadják a gondot, hanem ellenőrzéseket építenek.

De van egyenlőtlenség. Nagyok, mint Wiz, Red Gate, Vercel, megengedhetik a szkennert, javítást, szabályokat. Mi lesz a szóló founderral, aki Cursorral dob össze side projectet? Vagy a nem-tech CEO-val, aki belső toolt "vibe-kódolt"?

(A New Stack cikke C-level exec-ekről szólt, akik csak LLM-mel fejlesztenek belső cuccokra. Egy CEO BBS-t épített, 23 MB RAM, 500 user, nulla incidens egy éve. Igazi sztori, de túlélési bias?)

A bizalomromlás

A Forrester jegyzete a Vercel/Context.ai breach-t nem egyszeri hibaként kezeli, hanem a felelősségmegosztás összeomlásaként. Kritika: ha "szenzitív" env változókat opcionálisan kell jelölni, az bukás.

Mélyebben: a SaaS peremvédelem illúzió. Ha a platform kezeli a kódgenerálást, secret tárolást, logolást, és LLM ír hozzájuk – a "bizalomhatár" elmosódik.

Mit tegyél a saját stackeddel

Ha AI-val kódolsz, változtass gondolkodást:

1. Tégy fel, hogy a generált kód hibás. Teszteld úgy, mint egy új juniorét. SAST, dinamikus elemzés, fuzzing.

2. Listázd az AI-eszközöket. A Wiz AI-BOM-ja alapvető. Tudd, melyik modell, keretrendszer, IDE-ext generál kódot. Claude, Copilot, Cursor – más a biztonsági profiljuk.

3. Követeld a default biztonságot. Ha manuálisan kell jelölni szenzitív cuccot, vörös zászló. Szkennelés legyen auto, ne kapcsolgatós.

4. Készülj a 76%-ra. A 23,8% azt üzeni: AI kimarad a biztonságról. Párosítsd code review-val, statikus analízissel, runtime védéssel.

5. Figyelj a kritikus részekre. Adatbázis-kód, auth, API-réteg – itt a legnagyobb a kárpotenciál. Itt kezdj.

Pozitív végszó

Ez nem az AI ellen szól. Moshe Bar CEO LLM-only BBS-sel, OutSystems A/B tesztet Claude-dal bizonyítja: gyorsíthatod vele, ha megtervezed.

Kulcs: "ha megtervezed".

• Szkenner az AI IDE-be commit előtt
• Javító extensionök
• Dinamikus AI-modell lista
• Külső függőségként teszteld az AI-kódot
• Nyomd a vendorokat: biztonság default, ne opció

A Wiz Red Agentje, Red Gate elemzése, SecureVibeBench nem végzet. Az infrastruktúra, amit amúgyis kell. Csak most, miután milliókhoz eljutott az AI.

A hét tanulsága: késői felismerés, gyors javítás. Kérdés: hány app viszi magával azt a 20% hibát élesbe?

Összefoglaló

Wiz a Google Cloud Next-en: Háromrétegű stack – Red Agent (támadó teszt), AI-BOM (modell-lista), inline szkenner Lovable-kódra. Claude Code és Cursor natív remediation. 20% AI-app hibás.

SecureVibeBench: 105 C/C++ feladat 41 OSS-Fuzz projektből. Működő + biztonságos kód? Legjobb: 23,8%. A többi funkciót bukik vagy hibát hoz vissza.

Red Gate adatbázis-elemzés: Öt kulcshiba AI-db kódokban. Példa: Replit törlés, Lovable 10% hibaarány.

CEO vibe-kódolás: Codenotary CEO BBS 500 userrel, 23 MB, nulla incidens. OutSystems CEO A/B Claude-dal.

Forrester bizalomkeret: Vercel/Context.ai breach jelzi a SaaS-perem vége. Kódgen, secret, log egy helyen – felelősségmodell összedől.

Ez a hét bebizonyította: az AI-kódolás itt van, hatékony, és tanuljuk – néha fájóan – a biztonságát.