Vibe coded Lovable-hosted መተግበሪያ በመሰረታዊ ጉድለቶች የተሞላ 18ሺህ ተጠቃሚዎችን አጋልጧል | Mewayz Blog Skip to main content
Hacker News

Vibe coded Lovable-hosted መተግበሪያ በመሰረታዊ ጉድለቶች የተሞላ 18ሺህ ተጠቃሚዎችን አጋልጧል

አስተያየቶች

1 min read Via www.theregister.com

Mewayz Team

Editorial Team

Hacker News
ጽሑፉን የምጽፈው በዚህ ርዕስ ላይ ባለኝ እውቀት ነው - በLovable (የ AI መተግበሪያ ገንቢ) ላይ የተገነባው የ"vibe coded" መተግበሪያ ወደ 18,000 የሚጠጉ የተጠቃሚዎችን የግል መረጃዎች ያጋለጡበት መሰረታዊ የደህንነት ጉድለቶች የተገኘበት ክስተት ነው። ይህ በኖ-ኮድ/AI-ኮድ ቦታ ላይ በደንብ የተመዘገበ የማስጠንቀቂያ ተረት ነው።

"Vibe Codeing" ሲሳሳት፡- ኮድ የሌለበት መተግበሪያ እንዴት 18,000 ተጠቃሚዎችን ለመሰረታዊ የደህንነት ጉድለቶች እንዳጋለጣቸው

በAi-powered መሳሪያዎች በመጠቀም በደቂቃዎች ውስጥ ሙሉ ለሙሉ የሚሰራ መተግበሪያ የመገንባት ተስፋ ስራ ፈጣሪዎችን፣ ሶሎፕረነሮችን እና የጎን ፕሮጀክት ወዳጆችን በዓለም ዙሪያ ቀልብ አድርጓል። ነገር ግን በቅርብ ጊዜ በLovable-አስተናጋጅ አፕሊኬሽን ላይ የተከሰተ ክስተት ያልተገራ ጉጉት ላይ ቀዝቃዛ ውሃ ጣለው። የ"vibe coded" መተግበሪያ - ሙሉ በሙሉ በ AI መጠየቂያዎች በትንሹ በሰዎች ቁጥጥር የተገነባ - ወደ 18,000 የሚጠጉ ተጠቃሚዎችን የግል መረጃ የት እንደሚታይ ለሚያውቅ ሰው እንዲጋለጥ የሚያደርግ የአንደኛ ደረጃ የደህንነት ተጋላጭነቶች እንዳሉት ታወቀ። ምንም የተራቀቀ ጠለፋ አያስፈልግም። ምንም የዜሮ ቀን ብዝበዛ የለም። ማንኛውም ጁኒየር ገንቢ በኮድ ግምገማ ውስጥ የሚያገኛቸው መሰረታዊ ጉድለቶች። ክስተቱ የሶፍትዌር ልማትን ዲሞክራሲያዊ ማድረግ እና ምርቶችን በግዴለሽነት በማጓጓዝ እውነተኛ ሰዎችን ለአደጋ በሚያጋልጥ መስመር መካከል ያለው መስመር የት ላይ ነው በሚለው ላይ ከባድ ክርክር አስነስቷል።

Vibe ኮድ ማድረግ ምንድን ነው፣ እና ለምን በታዋቂነት የፈነዳው?

"Vibe codeing" ማለት ይቻላል ሶፍትዌሮችን የመገንባት ልምድን በተፈጥሮ ቋንቋ ወደ AI መሳሪያዎች - ሞዴሉ የሚያመነጨውን ማንኛውንም ነገር መቀበል ፣ ከስር ኮድ ማንበብ አልፎ አልፎ እና እንዴት እንደሚሰራ ከመረዳት ይልቅ የሚፈልጉትን በመግለጽ የተፈጠረ ቃል ነው። እንደ Lovable፣ Bolt እና Replit Agent ያሉ መድረኮች ሀሳብ እና ክሬዲት ካርድ ላለው ሰው ይህን አካሄድ ተደራሽ አድርገውታል። ውጤቶቹ በእይታ አስደናቂ ሊሆኑ ይችላሉ፡ የተወለወለ ዩአይኤስ፣ የሚሰሩ የማረጋገጫ ፍሰቶች እና የውሂብ ጎታ ጋር የተገናኙ ባህሪያት - ሁሉም በሳምንታት ምትክ በሰዓታት ውስጥ የመነጩ ናቸው።

ይግባኙ ግልጽ ነው። እንደ ኢንዱስትሪ ግምት፣ በ2025 ከተጀመሩት ከ70% በላይ የሚሆኑ አዳዲስ የSaaS ማይክሮ አፕሊኬሽኖች አንዳንድ በ AI የታገዘ ኮድ ማመንጨትን ያካትታሉ። ቴክኒካል ላልሆኑ መስራቾች፣ vibe codeing ለመግባት በጣም የሚያስፈራውን እንቅፋት ያስወግዳል፡ በትክክል ኮድ መጻፍ። ግን አቀራረቡ መሠረታዊ ጉድለትን ይይዛል። ግንበኞች ምርታቸውን የሚያስኬድበትን ኮድ በማይረዱበት ጊዜ፣ በውስጡ የተካተቱትን አደጋዎችም አይረዱም። እና አፍቃሪው ክስተት እንዳሳየው፣ እነዚያ አደጋዎች ከባድ ሊሆኑ ይችላሉ።

ከ vibe codeing በስተጀርባ ያለው የባህል ግስጋሴ አደገኛ ትረካ ፈጥሯል - ኮድን መረዳት አሁን አማራጭ ነው፣ ደህንነት AI "የሚይዘው" እና ደህንነቱ በተጠበቀ ሁኔታ ከማጓጓዝ ይልቅ በፍጥነት መላክ አስፈላጊ ነው። እነዚህ ግምቶች 18,000 ሰዎች ውሂባቸው እንዲጋለጥ ያደረገው በትክክል ነው።

የጥሰት አናቶሚ፡ በትክክል ምን ስህተት ተፈጠረ በሎቭብል መድረክ ላይ የተስተናገደው የተጋለጠ አፕሊኬሽን የአንደኛ ደረጃ የደህንነት ውድቀቶችን እንዳጋጠመው ተዘግቧል። እነዚህ የላቁ የብዝበዛ ቴክኒኮች የሚያስፈልጋቸው ልዩ ተጋላጭነቶች አልነበሩም። እነሱ የመማሪያ መጽሐፍ ስህተቶች ነበሩ - በማንኛውም የድር ደህንነት መመሪያ የመጀመሪያ ምዕራፍ ውስጥ የተሸፈነ ዓይነት። ከተለዩት ጉድለቶች መካከል ሙሉ የተጠቃሚ መዝገቦችን የሚመልሱ ያልተረጋገጡ የኤፒአይ የመጨረሻ ነጥቦች፣ የመረጃ ቋት መጠይቆች ያለ ምንም የረድፍ-ደረጃ ደህንነት ተፈጻሚነት፣ የኤፒአይ ቁልፎች በደንበኛ-ጎን ጃቫስክሪፕት በቀጥታ ኮድ የተቀመጡ እና በስሜታዊ የመጨረሻ ነጥቦች ላይ ሙሉ በሙሉ የዋጋ ገደብ አለመኖር ይገኙበታል።

አፕሊኬሽኑን የመረመሩት የደህንነት ተመራማሪዎች ግላዊ መረጃ - የኢሜይል አድራሻዎችን፣ ስሞችን፣ የስልክ ቁጥሮችን እና አንዳንድ ጊዜ ከፊል የክፍያ ዝርዝሮችን ጨምሮ - በ API ጥሪዎች ውስጥ ተከታታይ የተጠቃሚ መታወቂያዎችን በመድገም በቀላሉ ማግኘት እንደሚቻል ጠቁመዋል። መግባት አያስፈልግም። ማስመሰያ አያስፈልግም። ውሂቡ በመሠረቱ የአውታረ መረብ ጥያቄዎችን በአሳሽ ገንቢ መሳሪያዎች ውስጥ ለሚመረምር ለማንኛውም ይፋዊ ነበር።

በጣም አደገኛ የሆኑት የደህንነት ድክመቶች ብልህነትን ለመበዝበዝ የሚያስፈልጋቸው አይደሉም - እነሱ በጣም መሠረታዊ ስለሆኑ ማንኛውም አሳሽ ያለው በእነሱ ውስጥ ሊወድቅ ይችላል። የእርስዎ AI የሚያመነጨውን ኮድ ካላነበቡ, ኮርነሮችን መቁረጥ ብቻ አይደሉም. ምንም መቆለፊያ የሌለበት ቤት እየገነቡ ነው እና ማንም በሩን እንደማይሞክር ተስፋ በማድረግ

ዋናው ምክንያት፡ ያለ ማረጋገጫ ይመኑ

የዚህ ክስተት አስኳል የ AI ኮድ ማመንጨት መሳሪያዎች ለመጀመሪያ ጊዜ መሳብ ከጀመሩበት ጊዜ ጀምሮ የደህንነት ባለሙያዎች ሲያስጠነቅቁበት የነበረው ንድፍ አለ። ገንቢው - ወይም በትክክል፣ ፈጣን መሐንዲስ - የ AI ውፅዓት በተዘዋዋሪ አምኗል። አፕሊኬሽኑ የሚሰራ ሲመስል ለምርት ዝግጁ ነው ተብሎ ይገመታል። ነገር ግን "ስራዎች" እና "ደህንነታቸው የተጠበቀ" ሙሉ ለሙሉ የተለያዩ ደረጃዎች ናቸው. የኤፒአይ የመጨረሻ ነጥብ ለትክክለኛው ተጠቃሚ ትክክለኛውን ውሂብ መመለስ እና በተመሳሳይ ጊዜ በይነመረብ ላይ ላሉ ያልተፈቀደ ጎብኚዎች ሁሉ ተመሳሳይ ውሂብ መመለስ ይችላል።

የAI ኮድ ጀነሬተሮች የተመቻቹት ለተግባራዊ ትክክለኛነት እንጂ ለጠላት የመቋቋም አቅም አይደለም። ተንኮለኛ ተዋንያን እንዴት አላግባብ እንደሚጠቀሙበት የሚጠብቅ ኮድ ሳይሆን ጥያቄውን የሚያረካ ኮድ ያወጣሉ። የረድፍ ደረጃ የደህንነት ፖሊሲዎች፣ የግብአት ንፅህና አጠባበቅ፣ የማረጋገጫ መካከለኛ ዌር፣ CORS ውቅር እና ተመን መገደብ ሁሉም ሆን ተብሎ ደህንነቱን የሚያውቅ ትግበራ የሚጠይቁ ስጋቶች ናቸው። እንደ "የተጠቃሚ ዳሽቦርድ ገንቡልኝ"

ከመሳሰሉት ጥያቄዎች በተፈጥሮ እምብዛም አይወጡም።

ተወደደው መድረክ እራሱ ሱፓባሴን እንደ ጀርባው ያቀርባል፣ ይህም ጠንካራ የደህንነት ባህሪያትን ያቀርባል - የረድፍ-ደረጃ ደህንነት (RLS) መመሪያዎችን ጨምሮ። ነገር ግን እነዚህ ባህሪያት በግልፅ መንቃት እና በትክክል መዋቀር አለባቸው። በዚህ አጋጣሚ በ AI የመነጨው ኮድ RLSን ማንቃት አልቻለም ወይም በስህተት አዋቅረውታል፣ ከተወለወለ የፊት ገፅ ጀርባ ሰፊ ክፍት የሆነ የውሂብ ንብርብር ይፈጥራል። ትምህርቱ ጠንከር ያለ ነው፡የመሣሪያ ስርዓቱ የደህንነት ችሎታዎች የመነጨው ኮድ ካልተጠቀመባቸውየማይጠቅሙ ናቸው።

ለምን ይህ የስርአት ችግር እንጂ የተለየ ክስተት አይደለም

ይህን በግዴለሽነት በሌለው ግለሰብ እንደ አንድ ጊዜ ውድቀት መቁጠር ያጽናናል። ነገር ግን ችግሩ መዋቅራዊ መሆኑን መረጃዎች ያመለክታሉ። እ.ኤ.አ. በ 2025 በስታንፎርድ የተደረገ ጥናት እንዳመለከተው AI ረዳቶችን የሚጠቀሙ ገንቢዎች ኮድ ከ 40% የበለጠ የደህንነት ተጋላጭነቶችን በእጅ ከሰጡ - እና በከባድ ሁኔታ ፣ ስለ ኮድ ደህንነት የበለጠ በራስ መተማመን ይሰማቸዋል። ይህ የመተማመን ክፍተት እውነተኛው አደጋ ነው። Vibe codeers ደህንነቱ ያልተጠበቀ ኮድ መላክ ብቻ አይደሉም። ጠንካራ ነገር እንደገነቡ በእውነት ያምናሉ።

በAI-የተገነቡ አፕሊኬሽኖች መስፋፋት ማለት በአሁኑ ጊዜ በሺዎች የሚቆጠሩ የማምረቻ አፕሊኬሽኖች አሉ የደህንነት ግምገማ፣ የመግባት ሙከራ፣ ወይም በእጅ ኮድ ኦዲት እንኳ ያላደረጉ እውነተኛ የተጠቃሚ ውሂብ። አብዛኛዎቹ እነዚህ መተግበሪያዎች AI ምን እንዳመረተ ለመገምገም ቴክኒካዊ ዳራ በሌላቸው በብቸኛ መስራቾች የተገነቡ ናቸው። የጥቃቱ ወለል አንድ መተግበሪያ አይደለም - የ AI ውፅዓት በባህሪው እምነት የሚጣልበት ነው በሚል ግምት ላይ የተገነባ ሙሉ ሶፍትዌር ነው።

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

የተለመደውን የቪብ ኮድ የስራ ሂደት እና ደህንነት ስንጥቅ ውስጥ በሚወድቅበት ቦታ ላይ ተመልከት፡

  1. በፈጣን የሚመራ ልማት፡ ግንበኛ በተፈጥሮ ቋንቋ ባህሪያትን ይገልፃል፣ የደህንነት መስፈርቶች፣ የማረጋገጫ ቅጦች ወይም የውሂብ ጥበቃ ፖሊሲዎች
    2. ሳይጠቅሱ።
  2. ያለ ግምገማ መቀበል፡ የመነጨ ኮድ ለተግባራዊነቱ ይሞከራል ("አዝራሩ ይሰራል?") ግን ለደህንነት ሲባል ፈጽሞ ኦዲት አልተደረገም ("ሌላ ይህን ውሂብ ማን ሊደርስበት ይችላል?")።
  3. ፈጣን ማሰማራት፡ መተግበሪያው በሰአታት ወይም በቀናት ውስጥ በቀጥታ ይሰራል፣ ምንም የዝግጅት አካባቢ፣ የደህንነት ሙከራ የለም፣ እና ያልተፈቀደ መዳረሻ ክትትል የለውም።
  4. ከተጋላጭነት ጋር መጨመር፡ ተጠቃሚዎች ሲመዘገቡ እና የግል ውሂብ ሲያቀርቡ የማንኛውም የተጋላጭነት ፍንዳታ ራዲየስ ያድጋል - ግን ግንበኛ ሊሆኑ ለሚችሉ ስጋቶች ምንም ታይነት የለውም።
  5. ግኝት በውጭ ሰዎች፡የደህንነት ጉድለቶች በመጨረሻ የተገኙት - በገንቢው ሳይሆን በተመራማሪዎች፣ ተፎካካሪዎች ወይም ተንኮለኛ ተዋናዮች ነው።

ሃላፊነት ያለበት መተግበሪያ ግንባታ ምን ይመስላል ከእነዚህ ውስጥ አንዳቸውም ቢሆኑ በ AI የታገዘ ልማት በባህሪው አደገኛ ነው፣ ወይም ቴክኒካል ያልሆኑ መስራቾች ህጋዊ ምርቶችን መገንባት አይችሉም ማለት ነው። ይህ ማለት አቀራረቡ የጥበቃ መንገዶችን፣ ግንዛቤን እና - በብዙ አጋጣሚዎች - ከባዶ ከመገንባት ይልቅ የተመሰረቱ መድረኮችን ለመጠቀም ፈቃደኛ መሆንን ይጠይቃል። የተጋለጠ መተግበሪያ ሊተገብራቸው ያልቻለው የደህንነት መሰረታዊ ነገሮች የአማራጭ ባህሪያት አይደሉም። የተጠቃሚ ውሂብን ለሚይዝ ለማንኛውም መተግበሪያ የጠረጴዛ አክሲዮኖች ናቸው።

ሥራቸውን ለማስኬድ ሶፍትዌር ለሚያስፈልጋቸው መስራቾች እና አነስተኛ የንግድ ኦፕሬተሮች - CRM፣ ደረሰኝ፣ ማስያዣ፣ የቡድን አስተዳደር - በጣም አስተማማኝው መንገድ ብዙውን ጊዜ ብጁ መተግበሪያ መገንባት አይደለም። ይህንን አደጋ ለማስወገድ እንደMewayz ያሉ መድረኮች በትክክል አሉ። በ207 ቅድመ-የተገነቡ ሞጁሎች ከደመወዝ ክፍያ እና ከHR እስከ መርከቦች አስተዳደር፣ ትንታኔ እና የደንበኛ መግቢያዎች ድረስ ሁሉንም ነገር የሚሸፍኑ Mewayz vibe codeers ሳምንታትን ለመድገም ሲሞክሩ የሚያሳልፉትን ተግባር ያቀርባል - ከድርጅት ደረጃ ደህንነት፣ ትክክለኛ ማረጋገጫ፣ የተመሰጠረ የመረጃ አያያዝ እና መሠረተ ልማቱን የሚጠብቅ ራሱን የቻለ የምህንድስና ቡድን። በመድረክ ላይ ያሉት 138,000 ተጠቃሚዎች በእኩለ ሌሊት AIን የሚጠይቅ ብቸኛ መስራች በተጨባጭ ሊዛመድ በማይችል የደህንነት ልምዶች ይጠቀማሉ።

ስሌቱ ቀላል ነው፡ ዋናው ሥራዎ የሶፍትዌር ልማት ካልሆነ፣ ብጁ መተግበሪያን ኮድ ሲያደርጉ ያሳለፉት ሰዓታት ንግድዎን በትክክል ለማስኬድ ኢንቨስት ቢደረግ የተሻለ ይሆናል - የተገነቡ፣ የተፈተኑ፣ ኦዲት የተደረገ እና በባለሙያዎች የተያዙ መሳሪያዎችን በመጠቀም።

በAI-የታገዘ የእድገት ዘመን

ትምህርቶች

ተወዳጅ ክስተት በ AI የታገዘ ልማትን ሙሉ በሙሉ ለመተው ምክንያት አይደለም። AI ኮድ ማመንጨት የሶፍትዌር ፈጠራን በእውነት የሚያፋጥን ኃይለኛ መሳሪያ ነው። ነገር ግን አንድ መሳሪያ ደህንነቱ የተጠበቀው እጆቹ እንደያዙት ብቻ ነው። ቼይንሶው ለሰለጠነ አርሶ አደር ጠቃሚ ነው እና ጭራሹኑ ለማያውቅ ሰው ጥፋት ነው። ተመሳሳዩ መርህ እውነተኛ የተጠቃሚ ውሂብን በሚይዙ የምርት አገልጋዮች ላይ አንብበው በማያውቁት የመላኪያ ኮድ ላይም ይሠራል።

በAI እገዛ ብጁ አፕሊኬሽኖችን ለመገንባት ለሚመርጡ፣ አነስተኛው አስተማማኝ የደህንነት ማረጋገጫ ዝርዝር ለድርድር የማይቀርብ ነው፡

    በእያንዳንዱ የውሂብ ጎታ ሠንጠረዥ የተጠቃሚ ውሂብን በያዘው የረድፍ ደረጃ ደህንነትያንቁ እና ያረጋግጡ - ከዚያም የሌሎች ተጠቃሚዎችን መዝገቦች ለመድረስ በመሞከር ይሞክሩት።
  • በደንበኛ-ጎን ኮድ ውስጥ የኤፒአይ ቁልፎችን በጭራሽ አታጋልጥ። ከአሳሹ ላይ ሚስጥሮችን ለመጠበቅ ከአገልጋይ ጎን አካባቢ ተለዋዋጮችን እና የኤፒአይ መንገዶችን ይጠቀሙ።
    • የተጠቃሚ ውሂብን በሚመልስ ወይም በሚቀይር በእያንዳንዱ የመጨረሻ ነጥብ ላይ የማረጋገጫ መካከለኛ ዌርንተግብር። ባልተረጋገጠ ጥያቄ ሞክር። የቁጥር ጥቃቶችን እና የመግቢያ እና የውሂብ የመጨረሻ ነጥቦችን ላይ የሚደረጉ የጭካኔ ሙከራዎችን ለመከላከል
  • ተመንን ጨምር። ከመጀመሩ በፊት
  • መሠረታዊ የደህንነት ኦዲት ያሂዱ - እንደ OWASP ZAP ያሉ ነጻ መሳሪያዎች እንኳን በጣም አስከፊ ተጋላጭነቶችን ሊይዙ ይችላሉ።
  • የመነጨውን ኮድ ያንብቡ። ሊረዱት ካልቻሉ፣ የእውነተኛ ተጠቃሚዎችን ውሂብ ከኋላው ከማስቀመጥዎ በፊት ሊገመግመው የሚችል ሰው ይቅጠሩ።

መረጃቸው የተጋለጠላቸው 18,000 ተጠቃሚዎች የአንድን ሰው AI ሙከራ ቤታ እየሞከሩ መሆናቸውን እያወቁ አልተመዘገቡም። መተግበሪያው ፕሮፌሽናል ስለሚመስል እና በትክክል የሚሰራ ስለነበር በመረጃቸው አመኑ። ያ እምነት የተጣሰው በተራቀቀ የሳይበር ጥቃት ሳይሆን በቸልተኝነት እንደ ፈጠራ በመልበስ ነው። በ AI የተጎላበቱ የልማት መሳሪያዎች ሶፍትዌሮችን የመገንባት እንቅፋት እየቀነሱ ሲሄዱ ኢንደስትሪው - እና ግለሰብ ግንበኞች - ደህንነቱ የተጠበቀ ሶፍትዌሮችን የማጓጓዝ እንቅፋት በእሱ ላይ እንደማይወድቅ ማረጋገጥ አለባቸው።

ዋናው መስመር፡ ፍጥነት ያለ ደህንነት ግዴለሽነት ብቻ ነው

በሳምንቱ መጨረሻ ሙሉ የSaaS ምርትን የመገንባት ፍላጎት ከ AI ጥያቄዎች በስተቀር ምንም መጠቀም አይቻልም። ነገር ግን የተወደደው ክስተት አንድ ነገር በሚያሳዝን ሁኔታ ግልጽ አድርጓል፡መተግበሪያን የሚገነቡበት ፍጥነት ትርጉም የለሽ ነው ለሚጠቀሙት ሰዎች ደህንነት ዋስትና መስጠት ካልቻሉ። በማህበራዊ ሚዲያ ላይ ለሚጋራ እያንዳንዱ የ vibe-coded የስኬት ታሪክ፣ አሁን በምርት ላይ የተቀመጡ ቁጥራቸው ያልተነገረላቸው ተመሳሳይ ተጋላጭነቶች ያሏቸው አፕሊኬሽኖች አሉ - እስኪታወቅ ድረስ።

በ AI እገዛ ለመገንባት እና በትክክለኛ የደህንነት ግምገማዎች ላይ ኢንቨስት ለማድረግ ከመረጡ ወይም እንደ Mewayz ያለ በጦርነት የተፈተነ የደህንነት መሠረተ ልማትን የሚያስተናግድ መድረክን መርጠህ ንግድህን ማሳደግ ላይ ማተኮር እንድትችል አስፈላጊው ነገር አንድ ነው፡ የተጠቃሚህን ውሂብ ለሚገባው ክብር ያዝ። እ.ኤ.አ. በ 2026 "ኮዱ ደህንነቱ ያልተጠበቀ መሆኑን አላውቅም ነበር" ከአሁን በኋላ ሰበብ አይሆንም። ተጠያቂነት ነው።

ብዙ ጊዜ የሚጠየቁ ጥያቄዎች

"vibe codeing" ምንድን ነው እና ለምን አደገኛ ነው?

‹Vibe codeing› በተፈጥሮ ቋንቋ ምን እንደሚፈልጉ በመግለጽ AI መሳሪያዎችን በመጠቀም ሶፍትዌሮችን መገንባትን በትንሹ በእጅ ኮድ ግምገማ ይመለከታል። አደጋው በ AI የመነጨ ኮድ ብዙውን ጊዜ እንደ ማረጋገጫ፣ የግቤት ማረጋገጫ እና የውሂብ ምስጠራ ያሉ ትክክለኛ የደህንነት መሰረታዊ ነገሮች ይጎድላቸዋል። ልምድ ያካበቱ ገንቢዎች ውጤቱን ሳይገመግሙ፣ ወሳኝ ተጋላጭነቶች ሳይታወቁ ሊንሸራተቱ ይችላሉ፣ ይህም በሺዎች የሚቆጠሩ ተጠቃሚዎችን ለውሂብ ጥሰቶች እና የግላዊነት ጥሰቶች ሊያጋልጥ ይችላል።

በፍቅር የሚስተናገድ መተግበሪያ 18,000 ተጠቃሚዎችን እንዴት አጋልጧል?

መተግበሪያው የተጋለጠ የኤፒአይ ቁልፎችን፣ የውሂብ ጎታ የመጨረሻ ነጥቦችን ማረጋገጥ እና በቂ ያልሆነ የመዳረሻ መቆጣጠሪያዎችን ጨምሮ መሰረታዊ የደህንነት ጉድለቶችን ይዟል። እነዚህ ማንኛውም ልምድ ያለው ገንቢ በኮድ ግምገማ ወቅት የሚያገኛቸው መሰረታዊ ተጋላጭነቶች ናቸው። አፕሊኬሽኑ የተገነባው በዋነኛነት በ AI መጠየቂያዎች በኩል የተሟላ የደኅንነት ኦዲት ሳይደረግ በመሆኑ አጥቂዎች የተጠቃሚ ውሂብን በቀጥታ ማግኘት ይችላሉ - ለምን አውቶማቲክ ኮድ ማመንጨት አሁንም የሰው ቁጥጥር እና የደህንነት ሙከራ እንደሚያስፈልግ ያሳያል።

በAI-የተገነቡ መተግበሪያዎች ለምርት አጠቃቀም በቂ ደህንነታቸው የተጠበቀ ሊሆን ይችላል?

አዎ፣ ግን ከላይ በተደረደሩ ትክክለኛ የደህንነት ልምዶች ብቻ። AI ኮድ ማመንጨት መነሻ እንጂ የተጠናቀቀ ምርት አይደለም። ንግዶች የኮድ ግምገማዎችን፣ የመግባት ሙከራ እና ደህንነቱ የተጠበቀ መሠረተ ልማት ያስፈልጋቸዋል። እንደ Mewayz ያሉ መድረኮች ከ$19/በወር ጀምሮ 207 ሞጁሎች ያሉት ቀድሞ የተሰራ፣ በደህንነት የተመረመረ የንግድ OS በማቅረብ ይህንን ይቀንሳል ስለዚህ ተጋላጭ ኮድ ከባዶ ሳይፅፉ ለምርት ዝግጁ የሆኑ መሳሪያዎችን ያገኛሉ።

ንግዶች ከዚህ ክስተት ምን መማር አለባቸው?

ቁልፉ መወሰድ ፍጥነት በፍፁም በደህንነት ዋጋ መምጣት የለበትም። የተጠቃሚ ውሂብን የሚይዝ ማንኛውንም መተግበሪያ ከማስጀመርዎ በፊት፣ እንዴት እንደተገነባ ምንም ይሁን ምን ጥልቅ የደህንነት ኦዲቶችን ያካሂዱ። ያልተፈተነ በ AI የመነጨ ኮድ ከማሰማራት ይልቅ የተረጋገጡ መድረኮችን በተረጋገጡ የደህንነት መዝገቦች ለመጠቀም ያስቡበት። የተጠቃሚ እምነትን መጠበቅ ለጥቂት ሰዓታት የእድገት ጊዜን ከመቆጠብ የበለጠ ጠቃሚ ነው።