اگر اجازه دهید کاربران غیرفنی با ابزارهای هوش مصنوعی نمونههای اولیه را مستقیماً منتشر کنند، احتمالاً حفرهای امنیتی ایجاد کردهاید که امروز دلیل ۲۰٪ از نفوذهای سازمانی است. این واقعیت تلخِ برنامهنویسی بر اساس حس (Vibe Coding) است؛ جایی که سرعت توسعه جایگزین ایمنی شده است.
این روند به هر کسی اجازه میدهد بدون دانش عمیق کدنویسی، با کمک مدل زبانی بزرگ (LLM) — مثل کتابخانهداری که میلیاردها صفحه را خوانده و حالا با همان لحن جواب میدهد — اپلیکیشنهای کاربردی بسازد. ابزارهایی مثل Gemini، Claude یا Replit AI این مسیر را هموار کردهاند. اما همانطور که در تحلیل قبلی ما دربارهی گردشهای کاری عاملمحور (Agentic Workflows) اشاره کردیم، شکاف بین یک نمونهی اولیه «کارکننده» و یک اپلیکیشن «امن»، هر روز عمیقتر میشود.
به نقل از Thoughtworks، در می ۲۰۲۶ کشف شد که عاملهای (Agents) هوش مصنوعی — شبیه کارمندان دیجیتالی که میتوانند ابزارها را مدیریت کنند — اغلب کوتاهترین مسیر را برای رسیدن به جواب پیشنهاد میدهند، حتی اگر این مسیر ناامن باشد. طبق گزارش این شرکت، در یک نمونهی اولیه، هوش مصنوعی برای سادهسازی دسترسی، پیشنهاد داد که «باکتهای ذخیرهسازی» را عمومی کند. در مورد دیگری، دسترسیهای بیش از حد به توکنها داده شد که به یک حساب هکشده اجازه میداد در کل فضای ابری سازمان حرکت کند.
ریسکها سیستماتیک هستند. طبق گزارش AppSec Santa، حدود ۲۵٪ از کدهای تولیدشده توسط هوش مصنوعی دارای آسیبپذیریهای تأییدشده هستند. همچنین دادههای Sonar نشان میدهد که ۴۲٪ از نرمافزارهای سازمانی جدید اکنون توسط هوش مصنوعی تولید میشوند.
این تغییر ثابت میکند که «پرامپت دادن برای امنیت» با «اجبار به امنیت» متفاوت است. پرامپتها احتمالی هستند و بهراحتی نادیده گرفته میشوند، اما امنیت باید قطعی باشد. راهکار Thoughtworks، مهندسی هارنس (Harness Engineering) است. در این روش، توسعهدهندگان عاملها را در میان «راهنماها» (کنترلهای پیشرو) و «سنسورها» (کنترلهای بازخوردی) محصور میکنند. این یعنی استفاده از یک فایل متنیِ نسخهبندیشده برای هدایت هوش مصنوعی و بهکارگیری اسکنرهای خودکار برای مسدود کردن کدهای ناامن پیش از انتشار.
گام بعدی شما
- قوانین امنیتی فنی خود را در یک فایل Markdown ساختاریافته جمعآوری کنید و آن را بهعنوان قانون پیشفرض در Cursor یا Claude بارگذاری کنید.
- از هوش مصنوعی بخواهید در نقش یک «مهاجم» (Bad Actor) ظاهر شود تا خروجیهای خودش را تست نفوذ کند.
- هرگز کدهای تولیدشده توسط AI را بدون عبور از یک اسکنر امنیتی خودکار (Deterministic Gate) به محیط عملیاتی منتقل نکنید.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell مراجعه کنید.



گفتگو