Tydzień otrzeźwienia: Kodowanie z AI wpada w pułapkę bezpieczeństwa

Koniec kwietnia 2026 roku przyniósł twórcom korzystającym z AI brutalną lekcję. Stworzyliśmy potężne narzędzia, ale bez solidnego zabezpieczenia. Pięć kluczowych publikacji i badań pokazało ekosystem rozdarty między szybkością innowacji a długiem bezpieczeństwa.

Szokujące statystyki

Zacznijmy od liczby, która nie da spać po nocach: 20% aplikacji z AI w produkcji ma poważne dziury bezpieczeństwa. Dane z badań Wiz, podane na Google Cloud Next, dotyczą działających systemów. Nie teorii.

Co kryje się za "poważnymi"? Uszkodzone kontrole dostępu, wycieki danych, kody z lộhasłami. Tysiące aplikacji dziedziczy te błędy po AI-partnerach.

A to może być jeszcze optymistycznie. Niezależne studia wskazują na gorsze wyniki.

Wyniki benchmarku: zaledwie 23,8%

SecureVibeBench przetestował 105 zadań kodowania z bazy OSS-Fuzz. Każde wymagało naprawy luki CVE bez jej powtórzenia.

Pięć agentów AI walczyło na równych warunkach: OpenHands, Claude Sonnet 4.5 i inni. Najlepszy wynik: 23,8% rozwiązań działających i bezpiecznych.

Reszta – 76,2% – to kod nie działający, z powtórzonymi lukami lub oboma naraz.

Testy były uczciwe. Użyto fuzzingu, nie tylko skanowania statycznego. Wykryto przepełnienia buforów, race conditions, overflowy – typowe CVE.

Skąd ta przepaść?

Tydzień obfitował w wzorce. Wiz integruje skanery w IDE. Red Gate analizuje błędy w bazodanowym kodzie AI, z Replit jako przykładem katastrofy. Lovable przyznaje się do 10% luk w swoim kodzie.

Firmy nie udają, że problemu nie ma. Budują blokady.

Ale nierówności są duże. Duże gracze jak Wiz czy Vercel dodają skanery i polityki. A co z solowym deweloperem na Cursor? Albo CEO kodującym narzędzia bez wiedzy tech?

(New Stack opisał C-level executive'ów na "LLM-only dev". Jeden CEO uruchomił BBS na 23 MB RAM bez incydentów od roku. Super, ale czy to norma, czy wyjątek?)

Upadek zaufania

Forrester w notce o wycieku Vercel/Context.ai widzi koniec iluzji SaaS. Design, gdzie deweloper musi ręcznie oznaczać zmienne wrażliwe, rodzi awarie.

Głębiej: granice zaufania w platformach łączących kodowanie AI, sekrety i logi to fikcja.

Co to oznacza dla twojego stosu?

Używasz AI do kodowania? Czas na zmianę myślenia:

1. Traktuj kod AI jak juniora. Testuj SAST, dynamicznie, fuzzuj.

2. Spisz narzędzia AI. Wizowski AI-BOM to podstawa. Śledź modele: Claude, Copilot, Cursor – mają różne profile bezpieczeństwa.

3. Odrzucaj słabe defaulty. Ręczne tagowanie wrażliwych zmiennych? Czerwona flaga. Bezpieczeństwo musi być domyślne.

4. Planuj na 76% porażek. Z SecureVibeBench zakładaj błędy. Dodaj review, analizę statyczną, hardening.

5. Priorytetyzuj dziedziny. Bazy danych, auth, API – tu błędy AI bolą najmocniej. Zabezpiecz pierwsze.

Pozytywne spojrzenie

To nie atak na AI-dev. CEO Codenotary i OutSystems pokazują, że da się przyspieszyć bez strat – przy odpowiednim designie.

Klucz: "design dla tego".

Wpleć skanery w IDE przed commitem. Używaj remediacji w extensionach. Śledź modele dynamicznie. Testuj jak zewnętrzne deps. Wymuszaj na vendorach domyślne security.

Red Agent od Wiz, analizy Red Gate i benchmark SecureVibeBench to nie wyroki. To fundamenty, które i tak musieliśmy zbudować. Różnica? Budujemy po wysłaniu AI do milionów.

Tydzień to późne olśnienie i szybka naprawa. Pytanie: ile aplikacji poniesie te 20% luk w produkcję?

Podsumowanie wydarzeń

Wiz na Google Cloud Next: Trzy elementy – Red Agent (testy ofensywne), AI-BOM (inwentarz modeli), skanery w Lovable. Remediacja w Claude Code i Cursor. 20% aplikacji AI z lukami.

SecureVibeBench: 105 wyzwań C/C++ z 41 projektów OSS-Fuzz. Funkcjonalność + bezpieczeństwo. Top: 23,8%. Reszta failuje lub powtarza CVE.

Analiza Red Gate: Pięć błędów w bazodanowym kodzie AI. Replit i 10% u Lovable jako przykłady.

CEO na AI: Codenotary zbudował BBS dla 500 userów na 23 MB, zero incydentów. OutSystems testował A/B z Claude.

Forrester o zaufaniu: Wyciek Vercel kończy myślenie o SaaS perimeter. Mieszanie generowania kodu, sekretów i logów psuje shared responsibility.

Tydzień dowiód: AI-dev działa, boostuje produktywność. Uczymy się – czasem boleśnie – jak je zabezpieczyć.