La Vibe Security Radar estis kreita de la Systems Software & Security Lab (SSLab) ĉe Georgia Tech por trakti fenomenon nomatan "vibe coding", kie uzado de generativaj AI-iloj produktas vundeblan kodon. Esploristoj skanis publikajn datumbazojn pri vundeblecoj kaj pasis tra pli ol 43,000 avizoj por trovi kazojn kaj retrospuri kiu enkondukis la bugon. Se la radaro detektas subskribon de AI-ilo en metadatenoj, ĝi markas la kazon por konfirmo.
Ĝis nun la teamo konfirmis 74 kazojn; 14 estas etikeditaj kiel kritikaj kaj 25 kiel altaj. Inter la malkovritaj vundeblecoj estas komand-injekto, preterpaso de aŭtentikigo kaj server-side request forgery (SSRF). Hanqing Zhao notis, ke AI-modeloj tendencas ripeti samajn erarojn, kaj tio signifas ke milionoj da programistoj uzantaj samajn modelojn povas reprodukti la sama difekton en multoblaj projektoj.
La radaro povas spuri metadatenojn kiel co-author-etikedoj, bot-retpoŝtadreso kaj aliajn konatajn il-subskribojn, sed ĝi perdas kapablon se tiuj markiloj estas forigitaj. Tial la teamo moviĝas al konduta detekto, kiu serĉas padronojn en nomado de variabloj, funkcia strukturo kaj traktado de eraroj; ili konstruas modelojn por identigi AI-kodon el la kodo mem. Ili ankaŭ plibonigas konfirman proceduron kaj vastigas la fontojn kiujn ili skanas por havi pli kompletan bildon.
Zhao avertas, ke AI-produktita kodo ankoraŭ bezonas zorgeman revizion: revizii ĝin kiel pull-request de juniora programisto, ĉefe ĉion rilate al enirtraktado kaj aŭtentikigo. SSLab rekomendas doni pli detalajn promptojn al AI kaj uzi ilojn por kontroli generitan kodon pri vundeblecoj; neadekvata duobla kontrolo povus konduki al seriozaj sekvaj problemoj. La radaro ankaŭ observis kreskantan atakan surfacon: ĝi trovis ĉirkaŭ 18 kazojn en la dua duono de 2025 kaj 56 kazojn en la unuaj tri monatoj de 2026, kun marto 2026 havanta 35 kazojn, pli ol la tuta 2025 kune. Multaj iloj, inkluzive Claude Code kaj Copilot, respondecas pri plej multaj detektoj, parte ĉar ili lasas klarajn subskribojn.
- Metadatenaj signoj: co-author-etikedoj.
- Metadatenaj signoj: bot-retpoŝtadreso.
- Metadatenaj signoj: aliaj konataj il-subskriboj.
Malfacilaj vortoj
- vundebleco — difekto en programo kiu povas esti misuzatavundeblecoj
- metadateno — informo pri dosiero aŭ dokumento, ne ĝia enhavometadatenoj
- komand-injekto — atako kiu enmetas malbonajn ordonojn al sistemo
- aŭtentikigo — procezo por kontroli identecon aŭ rajton eniri
- konduta detekto — detekto bazita sur manieroj kiel kodo estas skribata
- retrospuri — sekvi la originon aŭ fonton de eraro
Konsilo: ŝovu la musmontrilon, fokusu aŭ tuŝu la reliefigitajn vortojn en la artikolo por vidi rapidajn difinojn dum legado aŭ aŭskultado.
Diskutaj demandoj
- Kio estas la ĉefa risko kiam multaj programistoj uzas saman AI-modelon, laŭ la artikolo? Donu mallongan klarigon.
- Kiel laŭ vi teamoj povus plifortigi revizion de AI-generita kodo por malpliigi vundeblecojn? Donu unu aŭ du praktikajn proponojn.
- Ĉu vi opinias ke konduta detekto estos sufiĉe por trovi AI-generitan kodon se metadatenaj signoj mankas? Klarigu viajn kialojn.
Rilataj artikoloj
Nova nanofibra filtrilo kaptas karbondioksidon en konstruaĵoj
Esploristoj prezentis karbonan nanofibran aerfiltrilon, kiu rekte kaptas CO2 en konstruaĵoj. Vivcikla analizo montras altan efikecon kaj eblajn energisparojn, kaj teamo priskribas kolektadon, regeneradon kaj kontribuon al malpliigo de emisioj.
Kresko kaj malaltaj enspezoj por afrikaj ciferecaj kreintoj
Raporto publikigita en Lagos en January 2026 diras, ke la cifereca kreiva sektoro en Afriko estas taksata je USD 3 billion nuntempe kaj povus atingi USD 17 billion antaŭ 2030. Tamen multaj kreintoj gajnas malmulte kaj frontas pagajn kaj datumajn problemojn.
Kiel homoj kun vidperdo taksas alvenon de veturiloj
Studo esploris kiel plenkreskuloj kun aĝa makula degenero taksas la alventempon de alproksimiĝantaj veturiloj per vido, sono aŭ ambaŭ en virtuala realeco. Rezultoj montras similajn taksojn kiel ĉe homoj kun normala vido kaj neniun multimodalan avantaĝon.