تصور کنید استراتژیهای محرمانه یا پروندههای پزشکی شرکت شما، تنها با یک کلیک و برای هر کسی در دنیا قابل دسترسی باشد. اگر فکر میکنید ابزارهای سادهی ساخت اپلیکیشن با AI فقط برای بهرهوری هستند، باید بدانید که همین راحتی در حال ایجاد یک فاجعهی امنیتی در مقیاس جهانی است.
این وضعیت نتیجهی ظهور وایب-کودینگ (Vibe-coding) — تشبیه روزمره: مثل این است که به جای یادگیری معماری، فقط به یک جادوگر بگویید «یک خانه زیبا میخواهم» و او بدون هیچ نقشهی مهندسی، خانه را بسازد — است. در این رویکرد، کاربران غیرفنی با استفاده از زبان طبیعی و هوش مصنوعی زاینده (Generative AI) — تشبیه روزمره: مثل یک نقاش یا نویسندهی فوقسریع که بر اساس الگوهایی که دیده، چیزهای جدید خلق میکند — بدون نوشتن حتی یک خط کد، نرمافزارهای کاربردی میسازند. همانطور که در تحلیل قبلی ما دربارهی نشت دادهها در پلیلیستهای AI اشاره کردیم، این روند نشاندهندهی تغییری سیستماتیک در نحوهی استقرار نرمافزارهاست.
به نقل از گزارش وایرد (Wired) در ۷ می ۲۰۲۶، دور زوی (Dor Zvi) و تیمش در رد-اکسس (RedAccess) بیش از ۵,۰۰۰ اپلیکیشن وب ساخته شده با AI را شناسایی کردهاند که کاملاً در معرض دید عموم هستند. طبق این گزارش، این اپلیکیشنها اغلب استراتژیهای حساس شرکتی و سوابق پزشکی را افشا میکنند. محققان بهطور خاص روی دامنههای لاوابل (Lovable)، رپلیت (Replit)، بیس۴۴ (Base44) و نتلایفای (Netlify) تمرکز کردند و نتایج تکاندهنده بود:
- بیش از ۵,۰۰۰ اپلیکیشن تقریباً هیچ سیستم احراز هویت یا امنیتی نداشتند.
- نزدیک به ۲,۰۰۰ اپلیکیشن دادههای خصوصی، از جمله برنامههای کاری بیمارستانها و ارائههای استراتژیک بازار را لو دادند.
- برخی اپلیکیشنها به مهاجمان اجازه میدادند دسترسیهای مدیریتی بگیرند یا مدیران دیگر را حذف کنند.
- دامنهی لاوابل بهطور ویژهای برای میزبانی سایتهای فیشینگ (Phishing) که از برندهایی مثل Bank of America و FedEx تقلید میکردند، شناسایی شد.
اگرچه امجاد مساد (Amjad Masad)، مدیرعامل رپلیت، و نمایندگان ویکس (Wix) استدلال میکنند که این نشتها نتیجهی تنظیمات غلط کاربران است و نه نقص پلتفرم، اما مقیاس این اتفاق نشاندهندهی یک مشکل عمیقتر است. ما با یک بحران کلاسیک سایه AI (Shadow AI) — تشبیه روزمره: مثل این است که کارمندی برای راحتی بیشتر، یک بخاری برقی غیرمجاز را به پریز برق شرکت بزند، بدون اینکه بداند ممکن است کل ساختمان را به آتش بکشد — روبرو هستیم. وقتی تیمهای بازاریابی یا فروش، چرخه استاندارد توسعه نرمافزار را دور میزنند، در واقع تمام لایههای بازرسی امنیتی را حذف میکنند.
برای متخصصان امروز، این یعنی سد ورود برای ساخت ابزار، حالا پایینتر از سد ورود برای ایمنسازی آنهاست. شما دیگر فقط با هکرها نمیجنگید، بلکه با وسوسهی راحتی در ابزارهای AI تیم خودتان در نبرد هستید.
گام بعدی شما
- دامنههای عمومی شرکت خود را برای شناسایی اپلیکیشنهای غیرمجاز میزبانی شده توسط AI بازرسی کنید.
- بررسی کنید که آیا سیاستهای داخلی AI شرکت شما، استفاده از میزبانیهای شخص ثالث برای دادههای عملیاتی را صراحتاً ممنوع کرده است یا خیر.
- یک جلسه بازبینی امنیتی برای تیمهای غیرفنی که از ابزارهای Low-code استفاده میکنند ترتیب دهید.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell مراجعه کنید.
گفتگو