Onderzoekers waarschuwen dat 'vibe coding'—het veelvuldig gebruiken van generatieve AI bij programmeren—levert vaak fragiele code op. Teams die dit probleem onderzochten onderschepten meer dan 43.000 security-advisories op het web en vonden vele gevallen waarin AI-tools hielpen onveilige code te genereren. Vibe coding omvat tools als Claude, Gemini en GitHub Copilot, waarvan sommige nu autonoom functies en bestanden kunnen aanmaken.
De Vibe Security Radar, gebouwd door het Systems Software & Security Lab (SSLab) van Georgia Tech, scant openbare kwetsbaarheidsdatabases, identificeert de fout bij elke kwetsbaarheid en onderzoekt de codegeschiedenis om te bepalen wie de bug introduceerde. Als de radar een AI-toolsignature vindt, markeert hij de zaak. Het instrument bevestigde 74 gevallen, waarvan 14 als critical en 25 als high zijn geclassificeerd. Gevonden kwetsbaarheden omvatten command injection, authentication bypass en server-side request forgery.
De radar kan metadata zoals co-author-tags en bot-e-mails herleiden, maar kan gevallen niet detecteren als die markeringen zijn verwijderd. Het team werkt daarom aan gedragsdetectie: AI-geschreven code vertoont vaak herkenbare patronen in variabelennamen, functiestructuur en foutafhandeling. De onderzoekers verbeteren ook hun verificatiepipeline en breiden de bronnen die ze scannen uit. Zhao waarschuwt dat AI-output altijd nauwkeurig moet worden gecontroleerd, net zoals een pull request van een juniorontwikkelaar, en dat vooral inputverwerking en authenticatie kritisch moeten worden nagekeken.
- De radar vond 18 gevallen in zeven maanden in de tweede helft van 2025.
- In de eerste drie maanden van 2026 vond de radar 56 gevallen.
- Alleen maart 2026 had 35 gevallen, meer dan heel 2025 samen.
Omdat sommige tools duidelijke signatures achterlaten, verklaren Claude Code en Copilot het merendeel van de detecties.
Moeilijke woorden
- generatief — AI die automatisch nieuwe tekst of code maaktgeneratieve
- fragiel — makkelijk beschadigd of niet betrouwbaarfragiele
- autonoom — zonder voortdurende menselijke tussenkomst werken
- kwetsbaarheid — een zwakke plek in software die misbruikt kan wordenkwetsbaarheidsdatabases, kwetsbaarheden
- gedragsdetectie — herkennen van typisch gedrag in geschreven code
- metadata — extra informatie over een bestand of code
- verificatiepipeline — reeks stappen om code op fouten te controleren
- authenticatie — controleren of een gebruiker echt is
- detectie — het opsporen van iets, zoals een foutdetecties
Tip: beweeg de muisaanwijzer over gemarkeerde woorden in het artikel, of tik erop om snelle definities te zien terwijl je leest of luistert.
Discussievragen
- Welke risico's ziet u als ontwikkelteams veel generatieve AI gebruiken bij programmeren? Geef voorbeelden uit de tekst.
- Welke extra controles of maatregelen zou een team kunnen invoeren om AI-gegenereerde code veiliger te maken?
- Bent u het eens met de stelling dat AI-output altijd gecontroleerd moet worden zoals een pull request van een juniorontwikkelaar? Waarom wel of niet?
Gerelateerde artikelen
Stijgende stroomvraag door datacenters kan prijzen en uitstoot verhogen
Onderzoek waarschuwt dat groei van datacenters en cryptomijnbouw in de VS de elektriciteitsprijzen en de CO2-uitstoot tegen 2030 kan doen toenemen. De studie modelleert het elektriciteitssysteem en vergelijkt scenario’s met en zonder deze vraaggroei.
Algoritmen verklaren omzetting van propaan naar propeen
Onderzoekers van de University of Rochester ontwikkelden algoritmen die laten zien welke atomaire kenmerken bepalen hoe propaan verandert in propeen. De inzichten helpen om katalysatoren te begrijpen en kunnen producenten helpen efficiënter te werken.
Vaste telefoon of smartphone: wanneer is een kind er klaar voor?
Ouders vragen zich af wanneer een kind een eigen telefoon krijgt. Deskundigen van Virginia Tech noemen vaak de middelbare schoolleeftijd en wijzen op voordelen van een vaste huistelefoon en op het belang van praten en regels.