Umjetna inteligencija sve snažnije mijenja način na koji se razvija softver, ali istodobno otvara i novu sigurnosnu pukotinu koju mnoge tvrtke očito još ne uspijevaju zatvoriti. Naime, najnovije istraživanje pokazuje da AI-generirani kod raste brže nego što tvrtke mogu ručno provjeravati i ispravljati njegove slabosti, pa se ranjiv softver sve češće pušta u produkciju i onda kada timovi unaprijed znaju da nije dovoljno siguran.
Prema navodima sigurnosne tvrtke Checkmarx, čak 75 posto tvrtki za razvoj softvera priznaje da često ili povremeno isporučuje kod za koji zna da sadrži ranjivosti. To je ozbiljan znak promjene u kulturi razvoja softvera, jer ono što je nekoć bilo iznimka ili neželjeni rizik sada sve više nalikuje na normalizirano ponašanje.
Problem pritom nije samo u tome što se kod piše brže, nego i u tome što se napadi također ubrzavaju. Istraživanje navodi da je još 2018. prosječno vrijeme potrebno da se softverska ranjivost iskoristi iznosilo 840 dana, dok danas za to treba manje od dva dana. Još više zabrinjavajuće, procjena je da bi se u manje od dvije godine taj vremenski okvir mogao smanjiti na samo jednu minutu.
Takav pomak dramatično mijenja sigurnosnu logiku razvoja. Nekada je bilo moguće pustiti proizvod na tržište, pa naknadno popravljati dio problema kroz zakrpe i nadogradnje. Danas taj model sve teže opstaje, jer između objave softvera i prvog napada više gotovo da nema sigurnosnog prostora za reakciju.
Poseban problem predstavljaju takozvane “vibe-coded” aplikacije, odnosno rješenja nastala gotovo isključivo kroz razgovor s AI sustavom, bez ozbiljne ručne revizije koda. Prema navedenim podacima, upravo takvi projekti dodatno povećavaju izloženost jer često završavaju na internetu s vrlo slabom ili nepostojećom autentifikacijom, izloženim podacima i osnovnim sigurnosnim propustima.
U izvješću se navodi i da je ranije ovog mjeseca identificirano više od 5.000 aplikacija koje su na webu izlagale korporativne ili osobne podatke. Među njima su se našli medicinski podaci, financijske informacije, interni poslovni dokumenti i korisnički razgovori, što pokazuje da posljedice nisu ograničene na tehničke greške, nego se prelijevaju na stvarne poslovne i privatnosne rizike.
Posebno osjetljivim sektorom pritom se navodi zdravstvo, koje je već pod pritiskom ransomware napada, rizika povezanih s vanjskim softverskim dobavljačima i sve strožih regulatornih zahtjeva. U takvom okruženju, dodatno ubrzavanje razvoja uz pomoć AI-ja bez paralelnog jačanja sigurnosnih kontrola moglo bi imati vrlo ozbiljne posljedice.
Suština problema nije u tome da je AI sam po sebi “loš programer”, nego u tome što organizacije koriste alat koji povećava brzinu isporuke, a da pritom nisu podjednako ubrzale testiranje, reviziju i upravljanje rizikom. Kada razvoj postane gotovo trenutan, a sigurnosna provjera ostane spora, ručna i reaktivna, ranjivosti prestaju biti incident i postaju sastavni dio proizvodnog procesa.
