Vibe coding: een kans om DevOps te democratiseren of een dreiging voor beveiliging?

AI is, net als elke andere technologie, niet inherent goed of slecht. Dat hangt af van wie het gebruikt en waarvoor. Het is wel zo dat AI zich sneller ontwikkelt dan regelgeving en dat wetgevers moeite hebben om dit tempo bij te benen. Deze ongekend snelle technologische ontwikkeling en het vaak achterlopen van wetten en richtlijnen leidt ook tot nieuwe beveiligingsuitdagingen, waaronder vibe coding.

Wat is vibe coding?

Vibe coding is een moderne benadering van softwareontwikkeling en het is het gevolg van de veranderende rol van de softwareontwikkelaar. Voorheen moest een ontwikkelaar handmatig elke regel code schrijven voordat het proces van inspecteren, testen, repareren en lanceren begon. Dankzij vibe coding kan een softwareontwikkelaar deze eerste stap overslaan en de code laten schrijven door AI. Die code kan de ontwikkelaar vervolgens eenvoudig testen en verfijnen.

Op papier zijn de voordelen duidelijk: ontwikkelaars kunnen efficiënter werken, het democratiseert DevOps en zorgt ervoor dat ook niet-getrainde ontwikkelaars kunnen coderen en stimuleert creativiteit en experimenteren. Hierdoor kunnen er nieuwe initiatieven en applicaties ontstaan. Slechts een paar weken geleden werd vibe codingbedrijf Lovable nog gewaardeerd op $1,8 miljard. Maar met nieuwe AI-innovaties en de verandering die zij brengen, ontstaan ook nieuwe beveiligingsrisico’s.

De beveiligingsrisico’s van vibe coding

Code geschreven door openbare AI-tools is altijd gebaseerd op eerdere voorbeelden. Door prompt-injectie kunnen aanvallers kwaadaardige of foutieve code voeden aan een AI-tool. De ontwikkelaar die deze AI-tool vervolgens gebruikt om code te schrijven voor een nieuwe applicatie, loopt het risico om deze kwaadaardige code te gebruiken. Het doel van aanvallers is vaak om via deze kwaadaardige code een achterdeur in te bouwen, waardoor ze bij organisaties binnen kunnen komen wanneer de applicatie met die betreffende code in gebruik wordt genomen.

Hoewel generatieve AI nieuwe codeermogelijkheden biedt als onderdeel van vibe coding, is het belangrijk om de resultaten hiervan eerst geïsoleerd te inspecteren en te testen voordat deze in de bredere organisatie worden ingezet.

Defensieve strategieën

Vibe coding maakt het eenvoudiger voor ontwikkelaars om code te schrijven en helpt hen hun tijd efficiënt in te delen, maar het verhoogt ook het risico op misbruik. Vibe coding is de nieuwste versie van AI-gestuurde cyberaanvallen. Hoewel het makkelijker is voor organisaties om zich te concentreren op de technologie van het moment, moeten ze ook vooruitkijken en zich verdedigen tegen vibe coding en welke volgende innovatie dan ook.

Organisaties kunnen hiervoor verschillende defensieve strategieën inzetten. De belangrijkste strategie is de implementatie van een zero trust-architectuur. Zero trust is de kern van een beveiligingsproces. Het gaat ervan uit dat geen enkele entiteit standaard vertrouwd wordt, zelfs niet binnen de netwerkperimenter. Ten tweede zijn platformgebaseerde technologieën essentieel. Platformaanbieders hebben enorm veel kennis en bieden die kennis aan als een soort groepsimmuniteit: als een oplossing werkt voor één persoon, wordt deze meteen toegepast op alle gebruikers van dat platform. In wezen profiteer je van de deelname van anderen aan het platformmodel. Tenslotte is het belangrijk dat organisaties proactief zijn in hun beveiligingsaanpak. Door risico’s te beperken voordat ze escaleren, verbeteren organisaties hun algehele beveiliging.

Vooruitblik

AI zal onze werkwijze blijven veranderen. De volgende stap is dat vibe coding AI-agents zal toevoegen aan het proces. Meerdere AI-agents zullen dan verschillende aspecten van het proces afhandelen: één AI-agent voor creativiteit, één voor coderen, één voor beveiliging enzovoorts. Dit zal de ontwikkelaar nog meer tijd schelen, maar zal ook weer nieuwe risico’s met zich meebrengen.

Het beveiligen van dit soort nieuwe tools en processen kan, mits goed uitgevoerd, marktuitbreiding stimuleren, meer wendbaarheid creëren en zorgen voor een verbetering van de algehele beveiliging. Maar wanneer het slecht wordt uitgevoerd, maakt het organisaties kwetsbaar voor de risico’s die nieuwe AI-innovaties en -trends met zich meebrengen. Door een langetermijnvisie te hanteren, zero trust te implementeren en een proactieve benadering voor beveiliging toe te passen, kunnen organisaties de risico’s voorzien en volop profiteren van de voordelen die deze nieuwe innovaties bieden.

Dit is een ingezonden bijdrage van Zscaler. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.