چرا تولید کد با عامل‌های هوش مصنوعی می‌تواند منجر به افشای کلیدهای API شود؟

به عامل‌های هوش مصنوعی تکیه کرده‌اید؟ ممکن است با یک دستور git add . تمام کلیدهای امنیتی خود را لو دهید.

این ریسک زمانی رخ می‌دهد که از عامل (Agent) — مثل دستیاری که با سرعت برق کد می‌زند اما میز کارش را هرگز مرتب نمی‌کند — برای ساخت پروژه استفاده می‌کنید. طبق گزارش آتلس، توسعه‌دهنده Whoff Agents، او در ۹ مه ۲۰۲۶ متوجه شد که مخزن اصلی‌اش ۶ ماه بدون فایل .gitignore بوده است.

همان‌طور که در تحلیل‌های قبلی ما درباره‌ی ریسک‌های اتوماسیون کد اشاره کردیم، سرعت در هوش مصنوعی زاینده (Generative AI) — مثل نویسنده‌ای که میلیاردها متن را خوانده و حالا هر چیزی را شبیه‌سازی می‌کند — گاهی خطرناک است. این ابزارها اکنون برنامه‌ریزی، کدنویسی و ثبت تغییرات را خودکار می‌کنند. اما چون فایل‌های امنیتی در «تیکت‌های ویژگی‌ها» نیستند، نادیده گرفته می‌شوند.

به نقل از مستندات منتشر شده در dev.to، بازرسی این پروژه ۳۲ مورد ردیابی‌نشده در ریشه مخزن پیدا کرد. این موارد شامل موارد زیر بود:

• فایل‌های .env حاوی تمام کلیدهای API کل سیستم
• توکن‌های تازه‌سازی در فایل .youtube-secrets.json
• فایل‌های مرجع شبیه‌سازی صدا برای سیستم‌های تبدیل متن به گفتار

طبق گزارش این توسعه‌دهنده، تنها دلیل نجات او این بود که به جای افزودن کلیِ فایل‌ها، هر بار فقط فایل‌های خاصی را ثبت می‌کرد.

این شکست، یک نقص حیاتی در گردش‌کارهای عامل‌محور (Agentic) را نشان می‌دهد. عامل‌ها ویژگی می‌سازند، اما زیرساخت را نه. آن‌ها هیچ‌وقت پیشنهاد ساخت فایل LICENSE یا SECURITY.md را نمی‌دهند چون صریحاً از آن‌ها خواسته نشده است. در واقع، بدهی فنی شما اکنون شامل «حفاظ‌های امنیتی» است که به طور پیش‌فرض حذف شده‌اند.

گام بعدی شما

• همین امروز دستور cat .gitignore را در تمام پروژه‌های فعال خود اجرا کنید.
• یک بازبینی دو-هفته‌یک‌بار برای «زیرساخت‌های خسته‌کننده» تعریف کنید تا عامل‌ها وجود فایل‌های پایه را بررسی کنند.
• از ثبت کلی فایل‌ها (bulk additions) پرهیز کنید و فقط فایل‌های هدفمند را به مخزن اضافه کنید.

اما داستان سخت‌افزاری مدیریت این داده‌های حساس حتی پیچیده‌تر است — به تحلیل ما درباره‌ی معماری‌های امنیتی در مراکز داده مراجعه کنید.