Vibe coding. Czy kodowanie z AI jest bezpieczne?

Termin Vibe Coding, spopularyzowany przez wizjonerów branży IT, przestał być jedynie technologiczną ciekawostką, a stał się fundamentem nowoczesnej inżynierii oprogramowania. Jak wskazał Satya Nadella, CEO Microsoftu, już blisko 30% kodu w Microsoft powstaje przy udziale AI, a ogólny odsetek deweloperów używających narzędzi AI w codziennej pracy wzrósł do 84% (w porównaniu do 76% w 2024). Tylko czy w świecie sztucznej inteligencji nasze dane i własność intelektualna pozostają bezpieczne?
https://cms.pracuj.pl/content/uploads/2026/03/Vibe-coding.-Czy-kodowanie-z-AI-jest-bezpieczne-2-1024x577.jpg

Czy kodowanie z AI jest bezpieczne?

I tak i nie - bezpieczeństwo kodowania z wykorzystaniem sztucznej inteligencji to zagadnienie wielowymiarowe. W dużym uproszczeniu można przyjąć, że w tradycyjnym modelu pracy, kod pozostaje w obrębie lokalnej infrastruktury. Natomiast interakcja z AI wymusza transfer informacji na serwery zewnętrzne. Choć standardem rynkowym jest szyfrowanie danych, co skutecznie chroni przed atakami typu man-in-the-middle, prawdziwe ryzyko kryje się w polityce wykorzystania danych przez dostawców.

Ponadto należy brać pod uwagę ryzyko strukturalne – modele AI, szkolone na ogromnych, ale często niezweryfikowanych pod kątem bezpieczeństwa zbiorach danych, mają tendencję do powielania niebezpiecznych wzorców. W rezultacie programista może nieświadomie zaimplementować funkcje podatne na ataki typu SQL Injection czy Cross-Site Scripting (XSS), ufając, że wygenerowany kod jest optymalny i bezpieczny. Zjawisko takie nazywamy “halucynacjami”.

 

theprotocol.it

Czy w ogóle wykorzystywanie jakkolwiek sztucznej inteligencji do np. testowania kodów jest bezpieczne?

 

Kamil Porembiński

Jest, tylko znowu - to jest tylko narzędzie i trzeba uczyć się, jak je bezpiecznie obsługiwać. AI często nie wie czego my tak naprawdę potrzebujemy, np. jaką aplikację ma stworzyć. To tak jakbym Ci powiedział: zbuduj rakietę i leć w kosmos. Przecież tak się nie da.

Dlatego AI jest formą pomocy i ważne jest by specjaliści, którzy z niego korzystają, mieli myślenie programistyczne i algorytmiczne. Możesz mieć świetną kuchnię i roboty kuchenne, ale póki nie jesteś szefem kuchni to ten sprzęt się marnuje i nie wyjdzie Ci super danie.

Problemem jest to, że ludzie po prostu mają gdzieś bezpieczeństwo w swojej pracy. Nie zastanawiają się jakie dane wpisują, gdzie one dalej lecą, gdzie są wykorzystywane. Dlatego wrzucają w AI - np. podczas kodowania - absolutnie wszystko. Dlatego też pochylają się nad tematem cyberbezpieczeństwa dopiero po incydentach. Często programista po prostu nie wie, o co powinien zapytać sztuczną inteligencję w kontekście bezpieczeństwa. W przypadku osoby nietechnicznej ryzyko jest większe - bo np. dana aplikacja z AI działa, ale nie ma w niej odpowiednich zabezpieczeń. Dlaczego? Bo AI często idzie na łatwiznę i np. hasła użytkowników są zapisywane jawnym tekstem.

 

theprotocol.it

Czy w takim przypadku wykorzystywanie AI w pracy ma sens?

 

Kamil Porembiński

Jeśli używasz AI do stworzenia prostych rzeczy, do wewnętrznego wykorzystania, do szkolenia, to okej. Wtedy z AI możesz swobodnie sobie coś wykodować, zrobić coś prostego, wyrzeźbić. Ja to często porównuje do gotowania zupki chińskiej. Jesteś w stanie zrobić obiad z zupki chińskiej, tak samo jesteś w stanie zrobić - na podobnym poziomie - aplikację za pomocą AI. Jeśli chcesz zrobić dobrą kolację, to uczysz się gotowania, kończysz szkołę, praktykujesz różne techniki, albo zatrudniasz szefa kuchni. Jasne, możesz zrobić z AI dobrą aplikację, ale musisz mieć do tego doświadczenie, coś więcej.

Ludzie często myślą, że obejrzą jakiś kurs i zaczną tworzyć aplikację. No nie. Tak jak nie wybudujesz domu, po obejrzeniu kilka video. Aplikacje stworzone w ten sposób będą działały, może nawet będą zarabiały, ale ich jakość będzie niska. A dla hakerów liczy się właśnie taki łatwy łup.

 

 

Czy AI może mieć halucynacje?

Tak. Często osoby nietechniczne zakładają, że narzędzie AI, które podaje gotowy skrypt, jest nieomylne. To oczywiście duży błąd, bo silnik statyczny może zmyślać. To są właśnie halucynacje, które są błędne i prowadzą do zagrożeń. Oczywiście AI nie „kłamie” w ludzkim sensie – po prostu przewiduje następne, najbardziej prawdopodobne słowo, a gdy brakuje mu danych, „wypełnia luki” na podstawie statystyki. Osoba nietechniczna tego nie zweryfikuje - zaufa, narażając swoje dane na wyciek.

Halucynacja AI to prosta droga do zjawiska zwanego slopsquattingiem. Jest to stosunkowo nowy proces, w którym hakerzy tworzą złośliwe pakiety (biblioteki) o nazwach, które sztuczna inteligencja ma tendencję do wymyślania (halucynowania).

 

Jak to działa?

  1. Atakujący badają modele AI (GPT-4, Claude czy Gemini), zadając im pytania o rzadkie lub skomplikowane zadania programistyczne. Zauważają, że model często „zmyśla” nazwę nieistniejącej biblioteki, np. python-auth-validator-pro.
  2. Haker rejestruje dokładnie taką nazwę w publicznym repozytorium (np. PyPI dla Pythona, npm dla JavaScriptu lub NuGet dla .NET).
  3. Do środka pakietu wkłada złośliwy kod (np. skrypt wykradający klucze API). Kod ten często pełni też funkcję, którą sugerowało AI, aby ofiara nie zorientowała się zbyt szybko.
  4. Programista, uprawiając vibe coding, prosi AI o pomoc. AI sugeruje: "Użyj biblioteki python-auth-validator-pro". Programista bezrefleksyjnie wpisuje polecenie… i instaluje wirusa prosto na swój komputer lub serwer firmowy.

 

theprotocol.it

Jaki jest koszt nieumiejętnego wykorzystania AI w vibe codingu?

 

Kamil Porembiński

Cóż, kara finansowa często nie jest tak dotkliwa, jak utrata zaufania. Bo okazuje się, że ten cudowny vibe coding, który ma zrobić produkt po kosztach, nie jest już tak cudowny, gdy rozmawiamy o RODO, szyfrowaniu bazy danych, audytach czy setkach niezbędnych testów bezpieczeństwa, infrastrukturze serwerowej itd. Poza tym po ataku należy posprzątać, więc koszty rosną i mogą ciągnąć się miesiącami. W tym czasie np. nie sprzedajesz, nie obsługujesz klientów…

 

Vibe coding - jakie dane są zagrożone?

Największym zagrożeniem są metadane i sekrety, które niechcący przesyłamy razem z kodem. Są to np. klucze API i hasła, a także dane osobowe (fragmenty baz danych z nazwiskami, adresami e-mail czy numerami telefonów używane do testowania funkcji), własność intelektualna (np. nowatorskie algorytmy), nazwy serwerów, wewnętrzne adresy IP i ścieżki do plików, które mogą ułatwić hakerowi zaplanowanie ataku.

 

theprotocol.it

A jakie dane mogą być narażone na wyciek, kiedy wykorzystamy AI do vibe codingu?

 

Kamil Porembiński

Wszystkie. Jak robisz aplikację na przepisy kucharskie - to przepisy kucharskie i dane użytkowników. Jak robisz apkę badającą stan zdrowia psychicznego (opiniowałem taki startup),  to dane wrażliwe.

To pytanie w stylu co zostanie zniszczone, jak będzie w okolicy mojego mieszkania trzęsienie ziemi. Odpowiedź brzmi: to, co ktoś ma w mieszkaniu.

Vibe Coding to "małpa" bawiąca się karabinem. Przez to np. Twoja konkurencja może poznać Twoich klientów, jak działasz, jakich masz pracowników. Może dowiedzieć się o Tobie wszystkiego, a potem może przejąć Twoich klientów, zaproponować pracownikom więcej. Dlatego ja mówię, że AI to potężne narzędzie, ale należy je traktować jako „Co-pilot” (drugi pilot), a nie autopilot.

Jak się chronić? 5 porad

  1. Zasada "Copy-Paste" z głową. Nigdy nie wklejaj całych plików, nie kopiuj kodu w bezmyślny sposób, wysyłaj tylko te funkcje, które sprawiają Ci problem i weryfikuj w myśl zasady ograniczonego zaufania.
  2. Weryfikuj. Każdy kod wygenerowany przez AI traktuj jako „kod od nieznajomego”. Zawsze przeprowadzaj code review pod kątem luk bezpieczeństwa. Nie dotykaj plików, które są nowe lub nie znajdziesz na ich temat wiarygodnych informacji.
  3. Myśl o danych. Jeśli nie potrafisz zabezpieczyć danych - nie zbieraj ich.
  4. Używaj narzędzi typu git-secrets lub trufflehog, które automatycznie blokują możliwość wysłania kluczy API w kodzie.
  5. Edukuj się, zgłębiaj wiedzę, pytaj. Im więcej podstaw poznasz tym większa szansa, że nie popełnisz błędu.

 

Może Ci się spodobać:

Źródło:

  • ttps://siliconangle.com/2025/04/29/satya-nadella-says-ai-now-writing-30-microsofts-code-warns-real-change-still-many-years-away/
the:protocol © 2026 Grupa Pracuj S.A.