वाइब-कोडिंग क्रांति में एक सुरक्षा समस्या है। बॉब स्टार, एक तकनीकी परियोजना प्रबंधक, ने अपनी एआई-जनरेटेड वेबसाइट बूमबर्ग लाइव को इंटरनेट पर भेज दिया, बिना यह जाने कि इसमें एक महत्वपूर्ण एसक्यूएल इंजेक्शन भेद्यता है जो महीनों तक संवेदनशील डेटा को उजागर कर सकती है। यह कोड लिखने के लिए एआई टूल का उपयोग करने वाले डेवलपर्स की बढ़ती संख्या के लिए एक चेतावनी है, जिन्हें वे पूरी तरह से नहीं समझते हैं – और इसके साथ आने वाले सुरक्षा खतरे भी हैं।
बॉब स्टार ने सोचा कि उसने कोड क्रैक कर लिया है। उनकी AI-जनरेटेड वेबसाइट बूमबर्ग – यह ट्रैक करने के लिए डिज़ाइन किया गया कि तकनीकी कंपनियों में अमेरिकी कर का कितना पैसा प्रवाहित होता है – रिकॉर्ड समय में अवधारणा से लाइव तैनाती तक चला गया। वाइब-कोडिंग का रोमांच, जहां डेवलपर्स संवादी संकेतों के माध्यम से संपूर्ण एप्लिकेशन उत्पन्न करने के लिए एआई का उपयोग करते हैं, बिल्डिंग सॉफ्टवेयर को लगभग सरल बना देता है।
लेकिन लॉन्च के कुछ महीनों बाद, स्टार को कुछ ऐसा पता चला जिससे उसका पेट ख़राब हो गया। AI-जनरेटेड कोड में SQL इंजेक्शन भेद्यता छिपी हुई थी, जो वेब विकास में सबसे आम और खतरनाक सुरक्षा खामियों में से एक है। एक हमलावर संभावित रूप से डेटाबेस जानकारी को पढ़ सकता है या उसमें हेरफेर कर सकता है, जिसकी उनके पास कोई व्यावसायिक पहुंच नहीं है।
स्टार ने बताया, “यह मेरी ओर से एक बड़ी भूल थी।” द वर्ज. “इस नई तकनीक को सीखने और इसे समझने की मेरी स्थिति में यह पूरी तरह से एक अंधा धब्बा था, और मुझे यकीन है कि अन्य लोग भी यही गलती कर रहे हैं।”
स्टार का प्रवेश डेवलपर समुदाय में बढ़ती चिंता का विषय है। एआई कोडिंग टूल के रूप में ओपनएआई, माइक्रोसॉफ्टका GitHub Copilot, और गूगलकी पेशकशें कार्यात्मक कोड उत्पन्न करना पहले से कहीं अधिक आसान बनाती हैं, वे डेवलपर्स का एक नया वर्ग भी बना रहे हैं जो हुड के नीचे क्या है, इसे पूरी तरह से समझे बिना एप्लिकेशन शिप करते हैं।
स्टार द्वारा खोजा गया SQL इंजेक्शन दोष हमलावर की प्लेबुक में सबसे पुरानी चालों में से एक का प्रतिनिधित्व करता है। OWASP टॉप 10 के अनुसार – वेब एप्लिकेशन सुरक्षा जोखिमों के लिए उद्योग मानक – इंजेक्शन कमजोरियों ने दशकों से अनुप्रयोगों को परेशान किया है। लेकिन एआई-जनरेटेड कोड के युग में, इन प्राचीन सुरक्षा छिद्रों को नया जीवन मिल रहा है।
जो चीज़ वाइब-कोडिंग को विशेष रूप से जोखिम भरा बनाती है, वह है इससे पैदा होने वाला आत्मविश्वास का अंतर। कोड काम करता है, यह पेशेवर दिखता है, और यह तेजी से शिप होता है। स्टार जैसे किसी प्रोजेक्ट मैनेजर के लिए, जिसके पास तकनीकी ज्ञान तो है, लेकिन गहरी सुरक्षा विशेषज्ञता नहीं है, एआई-जनरेटेड आउटपुट उत्पादन के लिए तैयार लगा। कोई स्पष्ट लाल झंडा नहीं था, कोई त्रुटि संदेश नहीं था, कोई चेतावनी नहीं थी कि कुछ महत्वपूर्ण गायब था।
समस्या किसी एक व्यक्ति या एक प्रोजेक्ट के लिए अनोखी नहीं है। चूंकि पिछले दो वर्षों में एआई कोडिंग सहायकों की लोकप्रियता में विस्फोट हुआ है, सुरक्षा शोधकर्ताओं ने मशीन-जनरेटेड कोड की गुणवत्ता और सुरक्षा के बारे में चिंताएं व्यक्त करना शुरू कर दिया है। हालांकि ये उपकरण कार्यात्मक वाक्यविन्यास तैयार करने और सामान्य प्रोग्रामिंग चुनौतियों को हल करने में उत्कृष्टता प्राप्त करते हैं, लेकिन वे लगातार सुरक्षा सर्वोत्तम प्रथाओं को लागू नहीं करते हैं या उन किनारे के मामलों को ध्यान में नहीं रखते हैं जो कमजोरियां पैदा कर सकते हैं।
बूमबर्ग के साथ स्टार के अनुभव से पता चलता है कि इन अंधे स्थानों से निकलना कितना आसान है। उसके पास एक वेबसाइट बनाने और तैनात करने के लिए तकनीकी कौशल था, अपने काम में आत्मविश्वास महसूस करने के लिए पर्याप्त ज्ञान था, लेकिन उस भेद्यता को पकड़ने के लिए पर्याप्त सुरक्षा जागरूकता नहीं थी जो एक अनुभवी डेवलपर या सुरक्षा पेशेवर के लिए स्पष्ट हो सकती थी।
यह घटना उद्योग में व्यापक तनाव को भी उजागर करती है। एआई कोडिंग उपकरण सॉफ्टवेयर विकास को लोकतांत्रिक बनाने का वादा करते हैं, जिससे अधिक लोगों को वर्षों के औपचारिक प्रशिक्षण के बिना एप्लिकेशन बनाने की सुविधा मिलती है। लेकिन सुरक्षा हमेशा विकास के सबसे कठिन पहलुओं में से एक रही है – इसके लिए न केवल यह जानना आवश्यक है कि कोड को कैसे काम में लाया जाए, बल्कि उन सभी तरीकों को समझना भी आवश्यक है जिनसे इसे तोड़ा जा सकता है या इसका शोषण किया जा सकता है।
स्टार के लिए, यह खोज उनके द्वारा उपयोग की जाने वाली प्रौद्योगिकी स्टैक के बारे में निरंतर सीखने के माध्यम से हुई। जैसे-जैसे उन्होंने गहराई से पता लगाया कि घटक एक साथ कैसे काम करते हैं, भेद्यता दिखाई देने लगी। लेकिन कितने अन्य वाइब-कोडेड प्रोजेक्ट अभी इसी तरह के मुद्दों के साथ उत्पादन में हैं, जो अपने रचनाकारों द्वारा – या इससे भी बदतर, दुर्भावनापूर्ण अभिनेताओं द्वारा खोजे जाने की प्रतीक्षा कर रहे हैं?
उद्योग के लिए चुनौती यह पता लगाना है कि बेहतर सुरक्षा रेलिंग बनाते समय एआई-जनरेटेड कोड की गति और पहुंच के लाभों को कैसे बनाए रखा जाए। कुछ कंपनियां पहले से ही एआई टूल पर काम कर रही हैं जो विशेष रूप से कमजोरियों के लिए स्कैन करती हैं, लेकिन वे कोडिंग सहायकों के लिए कैच-अप खेल रही हैं जिन्होंने पहले ही लाखों डेवलपर्स के काम करने के तरीके को नया रूप दे दिया है।
स्टार की अपनी गलती को सार्वजनिक रूप से साझा करने की इच्छा उस उद्योग में दुर्लभ है जो अक्सर सुरक्षा घटनाओं को शांत रखता है। उनकी आशा है कि वाइब-कोड सीखने वाले अन्य डेवलपर्स वह अतिरिक्त कदम उठाएंगे जिसे उन्होंने शुरू में छोड़ दिया था – यह पुष्टि करते हुए कि एआई-जनरेटेड कोड न केवल कार्यात्मक है, बल्कि सुरक्षित भी है।
वाइब-कोडिंग युग यहाँ है, और यह दूर नहीं जा रहा है। एआई टूल्स ने बिल्डिंग सॉफ्टवेयर को पहले से कहीं अधिक तेज और सुलभ बना दिया है। लेकिन बूमबर्ग के साथ स्टार का अनुभव एक महत्वपूर्ण अनुस्मारक के रूप में कार्य करता है कि गति और पहुंच स्वचालित रूप से सुरक्षा के बराबर नहीं होती है। चूंकि अधिक से अधिक डेवलपर्स – अनुभवी और नए समान – कोड उत्पन्न करने के लिए एआई पर निर्भर हैं, उद्योग को यह सत्यापित करने के लिए बेहतर अभ्यास विकसित करने की आवश्यकता है कि जो काम करता है वह सुरक्षित भी है। विकल्प खतरनाक कमजोरियों को छिपाने वाले कार्यात्मक अनुप्रयोगों से भरा एक वेब है, जो किसी के नोटिस करने की प्रतीक्षा कर रहा है।
