45% من الأكواد المُولّدة بالذكاء الاصطناعي تحتوي على ثغرات أمنية: كيفية تدقيق مشاريع الأكواد المرتجلة

وجدت دراسة أن الكود الذي تنشئه الذكاء الاصطناعي أكثر عرضة بـ 1.7 مرة للمشاكل الكبرى وأكثر عرضة بـ 2.74 مرة للثغرات الأمنية مقارنة بالكود الذي يكتبه البشر. إذا بنيت أي شيء باستخدام Cursor أو Claude Code أو GitHub Copilot، فمشروعك على الأرجح يحتوي على واحدة على الأقل من الثغرات الأمنية الخمس الأكثر شيوعاً. إليك ما هي وكيفية العثور عليها.

لماذا كود الذكاء الاصطناعي غير آمن

أدوات الذكاء الاصطناعي للبرمجة تُحسّن "هل يعمل؟" وليس "هل هو آمن؟" عندما تطلب من Cursor "إضافة مصادقة المستخدم"، فإنه ينشئ كوداً يصرح للمستخدمين. لا يضيف تلقائياً تحديد معدل أو تنظيف الإدخال أو حماية CSRF أو إدارة جلسات آمنة — لأنك لم تطلب هذه الأشياء.

الذكاء الاصطناعي يكتب بالضبط ما تصفه. الأمان يتطلب وصف أشياء لا تفكر فيها بشكل طبيعي — الحالات الحدية والإدخالات الخبيثة وأنماط الوصول غير المصرح بها. إذا لم تكن في طلبك، فلن تكون في الكود الخاص بك.

الثغرات الأمنية الخمس الأكثر شيوعاً

1. مفاتيح API المكتوبة بشكل ثابت في كود الواجهة الأمامية. يضع الذكاء الاصطناعي بشكل متكرر مفاتيح API مباشرة في مكونات JavaScript أو React على جانب العميل. يمكن لأي شخص فتح أدوات DevTools في المتصفح ورؤيتها. الحل: نقل جميع المفاتيح إلى متغيرات البيئة (ملفات .env) والوصول إليها من جانب الخادم فقط. الوقت: 15 دقيقة.

2. عدم وجود أمان على مستوى الصف في قواعد البيانات. إذا كنت تستخدم Supabase (شائع في البرمجة العفوية)، فإن الكود الذي ينشئه الذكاء الاصطناعي غالباً ما يمنح كل مستخدم مصرح به إمكانية الوصول إلى بيانات كل مستخدم آخر. الحل: تفعيل Row Level Security وإضافة سياسات لكل مستخدم. الوقت: 30 دقيقة.

3. عدم التحقق من صحة الإدخال على جانب الخادم. تقبل النماذج أي شيء — البرامج النصية والحمولات الكبيرة ومحاولات حقن SQL. يضيف الذكاء الاصطناعي التحقق من صحة جانب العميل (الذي يمكن للمستخدمين تجاوزه) لكنه يتخطى التحقق من صحة جانب الخادم. الحل: إضافة مخططات Zod أو تحقق مشابه على كل نقطة نهاية API. الوقت: 30 دقيقة لكل نقطة نهاية.

4. عدم وجود تحديد معدل. يمكن لأي شخص الوصول إلى API الخاص بك 1000 مرة في الثانية. لا خنق، لا حماية ضد الإساءة. الحل: إضافة تحديد معدل عبر Upstash Redis أو ما يشابهه. الوقت: 20 دقيقة.

5. المسارات غير المحمية. صفحات لوحة التحكم وألواح المسؤول ونقاط نهاية بيانات المستخدم تحمل بدون التحقق مما إذا كان المستخدم مسجل الدخول. الحل: إضافة برنامج وسيط للمصادقة على كل مسار محمي. الوقت: 15 دقيقة.

كيفية تدقيق مشروعك

مرر قائمة التحقق هذه لأي مشروع بني باستخدام أدوات الذكاء الاصطناعي للبرمجة:

ابحث في كل قاعدة الكود الخاصة بك عن المفاتيح المكتوبة بشكل ثابت. قم بتشغيل: grep -r "sk-" . && grep -r "api_key" . && grep -r "secret" . في دليل المشروع الخاص بك. أي نتائج في ملفات الواجهة الأمامية تعتبر ثغرات حرجة.

تحقق من كل نقطة نهاية API للتحقق من صحة الإدخال. افتح كل ملف مسار API. إذا كان يستخدم req.body بشكل مباشر بدون التحقق، فهو معرض للخطر.

تحقق من أمان قاعدة البيانات. إذا كنت تستخدم Supabase، تحقق من علامة التبويب Authentication → Policies. إذا لم تكن هناك سياسات RLS، فيمكن لكل مستخدم أن يرى بيانات كل مستخدم آخر.

اختبر المصادقة على كل صفحة. افتح المتصفح الخاص بك في وضع التصفح المتخفي (غير مسجل الدخول) وانتقل إلى كل صفحة في التطبيق الخاص بك. إذا تحملت أي صفحة لوحة تحكم أو صفحة خاصة بالمستخدم، فإن هذا المسار غير محمي.

تحقق من تحديد المعدل. حاول الوصول إلى نقطة نهاية API الخاصة بك 100 مرة بسرعة باستخدام برنامج نصي بسيط. إذا نجح كل الـ 100، فلا يوجد لديك تحديد معدل.

للحصول على قائمة تحقق أمنية كاملة، راجع دليلنا الكامل لتأمين التطبيقات المبنية بشكل عفوي. للحصول على الأخطاء الأكثر شيوعاً وإصلاحاتها، اقرأ 5 أخطاء أمنية يرتكبها كل مبرمج عفوي.

تحول العقلية

الذكاء الاصطناعي يكتب كوداً يعمل. أنت بحاجة إلى التأكد من أن الكود آمن. هذه مهارتان مختلفتان. كل طلب إلى أداة برمجة بالذكاء الاصطناعي يجب أن يتضمن متطلبات أمنية إلى جانب المتطلبات الوظيفية. "إضافة مصادقة مستخدم مع تحديد معدل والتحقق من صحة الإدخال والمسارات المحمية" ينتج كوداً أكثر أماناً بكثير من "إضافة مصادقة مستخدم".

Prompt Optimizer الخاص بنا يمكن أن يساعدك في إضافة هذه المواصفات الأمنية إلى أي طلب برمجة تلقائياً.

الإفصاح: بعض الروابط في هذه المقالة روابط تابعة. نوصي فقط بالأدوات التي اختبرناها شخصياً واستخدمناها بانتظام. انظر سياسة الإفصاح الكاملة.