Når AI-koding møter null sikkerhet: En ekte helsekrise

AI-verktøy som lager kode høres forlåt ut. Beskriv ideen din, trykk enter, og vips – en ferdig app. Plutselig kan hvem som helst bygge programvare uten dyp kunnskap.

Men hva skjer når dette brukes på sensitive pasientdata?

Bakgrunnen: Rask løsning trumfer kompetanse

En helsearbeider ser en video om AI-drevet utvikling. Budskapet er klart: Hvorfor betale for et dyrt, standardisert pasientsystem når du kan lage ditt eget på ettermiddagen?

De setter i gang. Bruker en AI-kodingstjeneste til å generere en hel pasientapp. Importerer eksisterende data. Setter den live på nettet. Legger til smart funksjonalitet: Automatisk opptak av samtaler og AI-transkripsjon via to eksterne API-er.

Papirløst. Effektivt. Moderne.

Også: En bombe som tikker.

Oppdagelsen: Full tilgang på 30 minutter

Sikkerhetsforsker Tobias Brunner kikker på appen. Han bruker ikke avanserte verktøy eller uker på jobben. På 30 minutter får han lese- og skrivetilgang til alle pasientopplysninger.

Ingen kryptering. Ingen tilgangskontroller. Null sikkerhet.

Alt ligger i én HTML-fil med JavaScript, CSS og logikk inni. Databasen har ingen autentisering – ingen radbeskyttelse, ingen sjekker. Alt som ser ut som sikkerhet, kjører i nettleseren. En enkel curl-kommando omgår det.

Vil du ha pasientdata? Hent det rett fra API-et. Endre poster? Samme sak. Bare flaks at ingen hadde sjekket før.

Verre enn dårlig kode: Brudd på lover

Det stopper ikke der. Dette er ikke bare slurv – det kan være ulovlig.

Lydopptak sendes rett til amerikanske AI-tjenester for analyse. Ingen databehandleravtale. Data lagres på amerikanske servere uten compliance. Under sveitsisk helselovgivning bryter det med personvern og taushetsplikt.

Byggeren skjønner ingenting. Får tips fra forskere, svarer med AI-generert melding om "umiddelbare tiltak" – basic auth lagt til.

Det fikser ikke roten. Bare plåster på et vrak.

Problemet med "vibe coding"

Historien viser et stort hull i AI-markedsføringen: AI-hjelp er ikke det samme som å vifte bort kunnskap.

AI-koding er supert for å speede opp jobb, fikse rutineoppgaver og lage boilerplate. Men det krever at du forstår arkitektur, sikkerhet og regler i ditt felt.

AI lager kjørende kode fort. Den skjønner ikke om koden burde eksistere – eller hvilke databeskyttelsesregler som gjelder.

Hva er "vibe coding" egentlig?

"Vibe coding" betyr å beskrive appen i naturlig språk, la AI generere, ikke lese koden grundig, og deploye.

Til privatprosjekt? OK. Til finans, helse eller persondata? Farlig uforsvarlig.

Skylden ligger ikke på AI. Den ligger på å droppe ingeniørvett.

Slik bygger du riktig

Bruker du AI i utviklingen? Her er det som teller:

Les koden. Forstå arkitektur, dataflyt og sikkerhetsgrenser. Ikke la det være svart boks.

Kjenn domenet ditt. Helse? Lær HIPAA, GDPR eller lokalt. Betalinger? PCI DSS. AI overtaler ikke dette.

Skill lagene. Autentisering og autorisasjon hører hjemme på serveren, ikke i JavaScript. Krypter sensitive data. Sjekk eksterne API-er og kontrakter.

Bruk kjente mønstre. Standardrammeverk og arkitekturer finnes av en grunn. Ikke la AI finne opp hjulet.

Sikkerhet først. Det er ikke noe du legger til senere. Kan du ikke dette, bygg ikke systemet ennå.

Fremtiden vi trenger

AI-verktøy endrer spillet. De gjør erfarne utviklere raskere. De åpner dører for flere.

Men de fjerner ikke ansvaret.

AI som turbo når du kan faget? Topp. AI som erstatter kunnskap? Da får du lekkede data og juridiske mareritt.

Fremtiden tilhører de som bruker AI smart – som multiplikator, ikke erstatning. Bygg den med åpne øyne.

Bruker du AI i utviklingen? Sørg for at infrastrukturen holder tritt. NameOcean's Vibe Hosting og skyplattform er laget for team som setter sikkerhet like høyt som fart.