اگر امروز برای افزایش سرعت توسعه به دستیارهای کدنویسی تکیه میکنید، احتمالاً در حال انباشت کوهی از بدهیهای فنی هستید که هر لحظه آمادهٔ فروپاشی است. باید بدانید تقریباً نیمی از کدهایی که هوش مصنوعی برای شما مینویسد، در بدو ورود ناامن هستند.
به نقل از گزارش امنیت کدهای هوش مصنوعی زاینده (که در سال ۲۰۲۵ توسط Veracode منتشر شد)، ۴۵٪ از نمونهکدهای تولیدشده توسط این ابزارها، شامل آسیبپذیریهای فهرست OWASP Top 10 هستند. این رقم نشان میدهد که سرعت بالای توسعه با ابزارهایی مثل GitHub Copilot، Cursor و Claude Code، هزینهای سنگین در لایه امنیت دارد.
همانطور که در تحلیلهای قبلی ما دربارهی شکاف میان توانایی ادراکی و قابلیت اطمینان مدلها اشاره کردیم، این وضعیت در مهندسی نرمافزار نیز تکرار میشود. برای یک استارتاپ، عرضه سریع محصول بدون داشتن یک دروازه امنیتی، بهرهوری را به یک ریسک سیستمی تبدیل میکند. این روند زمانی خطرناکتر میشود که برنامهنویسان، مدل زبانی بزرگ (LLM) — مثل کتابخانهداری که میلیاردها صفحه را خوانده و حالا با همان لحن کتابها جواب میدهد — را بیش از حد مورد اعتماد قرار دهند.
ابعاد واقعی مشکل
بر اساس مستندات این گزارش، این ارقام حاصل نظرسنجی نیستند، بلکه نتیجه آزمایشهای عینی روی پایگاههای کد واقعیاند. با افزایش سرعت تولید کد، ماهیت نقصها از باگهای ساده به خطاهای ساختاری شدید تغییر یافته است. سرعت بدون یک «گیت» یا دروازه بازرسی قطعی، تنها منجر به افزایش تعداد یافتههای امنیتی میشود.
پلتفرم BrassCoders دقیقاً برای حل این نرخ شکستهای اندازهگیریشده ایجاد شده است. با قرار دادن یک لایه بازرسی در مرحله پیش از ادغام (Pre-merge)، تیمها میتوانند فشار بررسی دستی را که در حال حاضر بر دوش بازبینهاست، بهشدت کاهش دهند. این چالشها به دلیل ماهیت پیچیده کدهای تولیدشده توسط AI است، چرا که ابهامات معنایی در این کدها باعث میشود ابزارهای سنتی تحلیل کد در شناسایی آنها شکست بخورند.
کالبدشکافی نرخ نقصها
طبق گزارشهای متعدد در بازه ۲۰۲۵-۲۰۲۶، نقاط شکست بحرانی زیر شناسایی شدهاند:
- خوشههای آسیبپذیری: شرکت Veracode بیش از ۱۰۰ مدل را در ۸۰ задание واقعی کدنویسی آزمایش کرد. زبان جاوا با نرخ شکست ۷۲٪ بدترین عملکرد را داشت؛ در حالی که پایتون، جاوااسکریپت و C# ریسکهای کمتر اما همچنان قابلتوجهی را نشان دادند.
- اصطکاک در Pull Request: گزارش CodeRabbit روی ۴۷۰ مورد PR در گیتهاب نشان داد که درخواستهای ادغامِ کمکگرفته از هوش مصنوعی، بهطور میانگین ۱۰.۸۳ مشکل داشتند، در حالی که این عدد برای کدهای انسانی ۶.۴۵ بود؛ یعنی افزایشی ۱.۷ برابری در تعداد مشکلات هر PR.
- ریسکهای مقیاسپذیری: شرکت Apiiro بین دسامبر ۲۰۲۴ تا ژوئن ۲۰۲۵، دهها هزار مخزن سازمانی را تحلیل کرد. آنها شاهد رشد ۱۰ برابری یافتههای امنیتی ماهانه بودند و مسیرهای «ارتقای دسترسی» (Privilege-escalation) ۳۲۲٪ جهش داشتند.
خطر توهم و Slopsquatting
یک مطالعه از USENIX Security ۲۰۲۵ نوع جدیدی از نقص را معرفی کرد: «Slopsquatting». پژوهشگران با تحلیل ۲.۲۳ میلیون ارجاع به پکیجها در ۵۷۶ هزار نمونه کد، دریافتند ۱۹.۷٪ از پکیجهای پیشنهادشده توسط هوش مصنوعی زاینده، اصلاً وجود خارجی ندارند.
- نرخ جعل: مدلهای متنباز ۲۱.۷٪ و مدلهای تجاری ۵.۲٪ اوقات، پکیجهای خیالی ساختهاند (نوعی توهم یا Hallucination — مثل دوستی که خاطرهای را اشتباه تعریف میکند).
- تداوم: ۴۳٪ از این نامهای جعلی در پرامپتهای تکراری بازگشتهاند که آنها را به اهدافی قابلپیشبینی تبدیل میکند.
این یک باگ ساده نیست؛ بلکه یک درِ پشتی (Backdoor) امنیتی است. مهاجمان میتوانند نام این پکیجهای خیالی را ثبت کنند و منتظر بمانند تا برنامهنویسان unsuspecting آنها را در محیط عملیاتی وارد کنند. این نوع حملات بخشی از یک الگوی گستردهتر در زنجیره تأمین است، مشابه آنچه در حفرههای امنیتی زنجیره تأمین AI و دسترسیهای مخاطرهآمیز در OpenAI مشاهده شده است. یک نمونه اثباتی (PoC) ثبتشده به این روش، پیش از این دهها هزار بار دانلود شده است.
شکاف ادراک و واقعیت
تضاد عجیبی میان اندازهگیریها و باورها وجود دارد. گزارش سال ۲۰۲۳ شرکت Snyk نشان داد نزدیک به ۸۰٪ برنامهنویسان باور دارند کدهای هوش مصنوعی امنتر از کدهای انسانی هستند. در مقابل، آزمایش تصادفی METR در سال ۲۰۲۵ نشان داد توسعهدهندگان باتجربه هنگام استفاده از ابزارهای هوش مصنوعی ۱۹٪ کندتر بودند، در حالی که تصور میکردند ۲۰٪ سریعتر شدهاند.
این یعنی برنامهنویسان به خروجیهایی اعتماد میکنند که عینیتر ریسکی هستند و بهطور اشتباه تصور میکنند سرعتشان بیشتر شده است. این اعتماد به نفس کاذب، شکاکیت طبیعی انسانی را که معمولاً نقصهای ظریف را میگیرد، از بین میبرد.
برای مهندسان مدرن، تنها راه حفظ سرعت، استقرار یک دروازه بازرسی قطعی است. ابزارهایی مثل BrassCoders با اجرای ۱۲ اسکنر آفلاین روی کدهای پایتون و خروجی YAML در هر کامیت، خطاهای واردات و کلاسهای آسیبپذیری را پیش از رسیدن به بازبین انسانی شناسایی میکنند.
گام بعدی شما
- برای شروع اسکن کدهای خود، دستور
pip install brasscodersرا اجرا کرده و سپس باbrasscoders --offline scan /path/to/your/projectپروژه خود را بررسی کنید. - در تمام PRهای تولیدشده توسط AI، به دنبال ارجاعات به پکیجهای ناشناس بگردید تا قربانی حملات Slopsquatting نشوید.
- ابزارهای بازرسی استاتیک (SAST) را مستقیماً در خط لوله CI/CD خود ادغام کنید تا سرعت تولید کد باعث کاهش امنیت نشود.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell مراجعه کنید.




گفتگو