Новый стиль «vibe coding» и уязвимый код ^{CEFR B1}

Команда из лаборатории Systems Software & Security Lab (SSLab) при Georgia Tech разработала Vibe Security Radar и обнаружила проблему, которую назвала «vibe coding». Радар сканирует публичные базы данных уязвимостей, определяет ошибку для каждой записи и анализирует историю кода, чтобы понять, кто ввёл баг.

Если в истории находятся подписи инструментов ИИ — теги соавторов или адреса электронной почты ботов — система помечает случай как связанный с ИИ. При этом радар не может обнаружить случаи, когда эти метаданные были удалены.

Инструмент подтвердил 74 случая уязвимостей; 14 из них классифицированы как критические, 25 — как высокие. Найденные проблемы включают инъекции команд, обход аутентификации и подделку серверных запросов (server-side request forgery). Исследователи отмечают, что модели ИИ часто повторяют одни и те же ошибки в разных проектах.

Команда работает над поведенческим обнаружением: код ИИ оставляет закономерности в названиях переменных, структуре функций и обработке ошибок. Также совершенствуют верификационный конвейер и расширяют источники данных. SSLab рекомендует тщательно проверять результаты ИИ перед выкатом в продакшен.