Săptămâna Realității: Codarea cu AI lovește în securitate

Ultima săptămână din aprilie 2026 a tras un semnal de alarmă clar pentru lumea dezvoltării asistate de AI. Am creat unelte puternice. Dar securitatea lor lasă de dorit. Cinci anunțuri majore și studii noi arată un ecosistem prins între viteza inovației și datoriile de securitate.

Cifrele care sperie

Statistica principală te face să te gândești de două ori: 20% din aplicațiile reale făcute cu tool-uri AI de codare au probleme serioase de securitate. Nu e teorie. E realitate în producție, după datele Wiz Research de la Google Cloud Next.

"Serioase" înseamnă acces controlat greșit, endpoint-uri cu date expuse, scurgeri de credentiale în codul generat. Mii de aplicații moștenesc astfel de vulnerabilități de la "partenerii" lor AI.

Și mai rău: acest 20% ar putea fi prea optimist. Alte studii independente arată rate și mai mici.

Revelația benchmark-ului: 23,8%

Studiul SecureVibeBench a testat 105 provocări de codare din vulnerabilități reale OSS-Fuzz. Fiecare sarcină cerea agentului AI să rezolve problema fără să repete exact tiparul de vulnerabilitate care generase un CVE.

Cinci agenți AI au intrat în competiție: OpenHands, Claude Sonnet 4.5 și alții. Cel mai bun rezultat: 23,8% soluții corecte și sigure.

Restul de 76,2%? Fie cod nefuncțional, fie vulnerabilitatea reapărută, sau ambele.

Testele au fost corecte. Au folosit fuzzing dinamic, nu doar lintere statice. Au prins erori reale: overflow-uri pe întregi, buffer overflow, race conditions. Bug-uri care devin CVE-uri.

De ce apare această prăpastie

Anunțurile săptămânii arată un trend. Wiz integrează scanare direct în IDE. Red Gate detaliază cinci tipare de eșec în codul de baze de date generat AI, cu ștergerea bazei Replit ca exemplu clar. Lovable raportează 10% probleme de securitate în propriul cod generat.

Companiile nu neagă problema. O recunosc și adaugă controllere.

Dar există o diferență mare. Marii jucători ca Wiz, Red Gate sau Vercel își permit scanare, remedieri și reguli. Ce fac fondatorii solo cu Cursor pe un proiect secundar? Sau CEO-ul non-tehnic care codează tool-uri interne?

(Un detaliu: The New Stack a profilat executivi C-level care folosesc "dezvoltare doar cu LLM" pentru tool-uri interne. Un CEO a pus în producție un BBS vibe-coded, pe 23MB RAM, fără incidente de un an. Sună bine. Dar e noroc sau supraviețuitori selectați?)

Caderea încrederii

Notă Forrester din săptămână reinterpretează breșa Vercel/Context.ai ca simptom al modelelor shared-responsibility stricante. Critica: decizii de design care lasă securitatea pe developeri, cum ar fi etichetarea opțională a variabilelor sensibile.

Argumentul profund: securitatea perimetrală SaaS e iluzie. Când platforma de deploy găzduiește și generarea AI, stocarea secretelor și log-urile, iar developeri se bazează pe LLM-uri – granița de încredere devine fictivă.

Ce faci cu stack-ul tău

Dacă folosești codare asistată AI, schimbă abordarea:

1. Presupune că generările au bug-uri. Testează-le ca pe cod de junior. SAST, analiză dinamică, fuzzing pe output-uri.

2. Fă inventar la tool-urile AI. Ideea AI-BOM de la Wiz e esențială. Știi ce modele (Claude, Copilot, Cursor, Gemini), framework-uri și extensii generează cod? Au profiluri de securitate diferite.

3. Contestă default-urile. Dacă platforma cere etichetare manuală pentru variabile sensibile, e semnal roșu. Securitatea trebuie să fie automată, nu opțională. La fel pentru scanarea codului AI.

4. Pregătește-te pentru 76%. Cu 23,8% succes SecureVibeBench, asumă că AI ratează securitatea. Combină cu review de cod, analiză statică, hardening runtime. Nu lăsa AI să fie singurul gardian.

5. Prioritează domenii sensibile. Baze de date, autentificare, API security – aici blast radius-ul e maxim. Blochează-le primele.

Perspectiva constructivă

Nu e un atac la codarea cu AI. CEO-ul Moshe Bar cu dezvoltare LLM-only sau testele A/B de la OutSystems arată că accelerează fără să sacrifice calitatea – dacă proiectezi așa.

Cheia: "dacă proiectezi așa".

• Integrează scanare securitate în IDE-ul AI înainte de commit
• Rulează remedieri predefinite via extensii
• Ține inventar dinamic al modelelor AI folosite
• Testează generările ca pe dependențe externe
• Presionează vendorii să facă securitatea implicită

Red Agent de la Wiz, analiza Red Gate și benchmark-ul SecureVibeBench nu sunt profeții negre. Sunt fundația pe care trebuia s-o construim oricum. Diferența: o facem după ce AI-ul a ajuns la milioane de developeri.

Asta e lecția săptămânii: realizare târzie, remedieri rapide. Întrebarea: câte aplicații din gol vor duce 20% vulnerabilități în producție?

Rezumatul esențial

Wiz la Google Cloud Next: Stivă triplă – Red Agent (testare ofensivă), AI-BOM (inventar modele), scanare inline pentru cod Lovable. 20% din app-urile AI au probleme majore de securitate. Remedieri native în Claude Code și Cursor.

SecureVibeBench: 105 provocări C/C++ din 41 proiecte OSS-Fuzz. Testează funcționalitate și securitate. Cel mai bun: 23,8%. Celelalte 76,2% eșuează funcțional sau reintroduc vulnerabilități vechi.

Analiza Red Gate pe baze de date: Cinci tipare critice în cod AI. Exemple: ștergerea producție Replit, 10% probleme la Lovable.

CEO vibe-coding: Codenotary CEO a construit BBS cu 500 useri, 23MB RAM, zero incidente. OutSystems CEO a testat A/B platforma vs. Claude.

Forrester pe colapsul încrederii: Breșa Vercel/Context.ai arată sfârșitul gândirii perimetrale SaaS. Platforme care amestecă generare cod, secrete și log-uri strictează shared-responsibility.

Săptămâna asta confirmă: codarea cu AI e aici, productivă. Și învățăm – uneori dureros – să o securizăm.