ثغرات الأكواد المولدة بواسطة الذكاء الاصطناعي — ما الذي تشحنه دون معرفة

وجدت دراسة أن الكود الذي ينتجه الذكاء الاصطناعي أكثر عرضة بمقدار 1.7 مرة للمشاكل الكبيرة وأكثر عرضة بمقدار 2.74 مرة للثغرات الأمنية من الكود الذي يكتبه الإنسان. إذا بنيت أي شيء باستخدام Cursor أو Claude Code أو GitHub Copilot، فمشروعك على الأرجح يحتوي على واحدة على الأقل من الثغرات الأمنية الخمس الأكثر شيوعاً. إليك ما هي وكيفية العثور عليها.

لماذا كود الذكاء الاصطناعي عرضة للثغرات

أدوات البرمجة بالذكاء الاصطناعي تركز على "هل يعمل؟" وليس "هل هو آمن؟" عندما تطلب من Cursor "إضافة مصادقة المستخدم"، فإنه ينتج كوداً يصادق المستخدمين. لكنه لا يضيف تلقائياً تحديد معدل الطلبات أو تنظيف المدخلات أو حماية CSRF أو إدارة الجلسة الآمنة — لأنك لم تطلب هذه الأشياء.

الذكاء الاصطناعي يكتب بالضبط ما تصفه. الأمان يتطلب وصف أشياء لا تفكر فيها بشكل طبيعي — الحالات الحدية، المدخلات الضارة، أنماط الوصول غير المصرح به. إذا لم تكن في موجهك، فهي ليست في كودك.

الثغرات الأمنية الخمس الأكثر شيوعاً

1. مفاتيح API مشفرة في كود الواجهة الأمامية. يضع الذكاء الاصطناعي بشكل متكرر مفاتيح API مباشرة في مكونات JavaScript أو React من جانب العميل. يمكن لأي شخص فتح DevTools وأن يراها. الحل: انقل جميع المفاتيح إلى متغيرات البيئة (ملفات .env) والوصول إليها من جانب الخادم فقط. الوقت: 15 دقيقة.

2. عدم وجود أمان على مستوى الصف في قواعد البيانات. إذا كنت تستخدم Supabase (شائع في البرمجة السريعة)، فإن الكود الذي ينتجه الذكاء الاصطناعي غالباً ما يعطي كل مستخدم مصرح به حق الوصول إلى بيانات كل المستخدمين الآخرين. الحل: تفعيل Row Level Security وإضافة سياسات لكل مستخدم. الوقت: 30 دقيقة.

3. عدم التحقق من المدخلات من جانب الخادم. النماذج تقبل أي شيء — نصوص برمجية، حمولات كبيرة، محاولات حقن SQL. يضيف الذكاء الاصطناعي التحقق من جانب العميل (الذي يمكن للمستخدمين تجاوزه) لكنه يتخطى التحقق من جانب الخادم. الحل: أضف مخططات Zod أو تحقق مشابه على كل نقطة نهاية API. الوقت: 30 دقيقة لكل نقطة نهاية.

4. عدم وجود تحديد لمعدل الطلبات. يمكن لأي شخص أن يضرب API الخاص بك 1000 مرة في الثانية. لا توجل أي حدود أو حماية ضد الإساءة. الحل: أضف تحديد معدل الطلبات من خلال Upstash Redis أو ما يشابهه. الوقت: 20 دقيقة.

5. مسارات غير محمية. صفحات لوحات التحكم وألواح المسؤولين ونقاط نهاية بيانات المستخدم تحمل بدون التحقق من تسجيل دخول المستخدم. الحل: أضف برنامج وسيط للمصادقة على كل مسار محمي. الوقت: 15 دقيقة.

كيفية تدقيق مشروعك

اتبع هذه القائمة التحقق لأي مشروع تم بناؤه باستخدام أدوات البرمجة بالذكاء الاصطناعي:

ابحث في كل قاعدة البيانات عن المفاتيح المشفرة. شغل: grep -r "sk-" . && grep -r "api_key" . && grep -r "secret" . في مجلد مشروعك. أي تطابقات في ملفات الواجهة الأمامية هي ثغرات حرجة.

تحقق من كل نقطة نهاية API للتحقق من المدخلات. افتح كل ملف مسار API. إذا كان يستخدم req.body مباشرة دون التحقق، فهو عرضة للثغرات.

تحقق من أمان قاعدة البيانات. إذا كنت تستخدم Supabase، تحقق من علامة التبويب Authentication → Policies. إذا لم تكن هناك سياسات RLS، يمكن لكل مستخدم أن يرى بيانات كل المستخدمين الآخرين.

اختبر المصادقة على كل صفحة. افتح متصفحك في وضع التصفح الخاص (غير مسجل الدخول) وانتقل إلى كل صفحة في تطبيقك. إذا حملت أي صفحة لوحة تحكم أو صفحة خاصة بالمستخدم، فهذا المسار غير محمي.

تحقق من تحديد معدل الطلبات. حاول ضرب نقطة النهاية API 100 مرة بسرعة متتالية باستخدام نص برمجي بسيط. إذا نجحت جميع الـ 100، فأنت لا تملك تحديد معدل الطلبات.

للحصول على قائمة تحقق أمان شاملة، اطلع على دليلنا الكامل لتأمين التطبيقات. للاطلاع على الأخطاء الأكثر شيوعاً وكيفية إصلاحها، اقرأ 5 أخطاء أمان يرتكبها كل مبرمج سريع.

تحول في العقلية

الذكاء الاصطناعي يكتب كوداً يعمل. أنت تحتاج إلى التأكد من أن الكود آمن. هذان مهارتان مختلفتان. يجب أن تتضمن كل موجهة لأداة البرمجة بالذكاء الاصطناعي متطلبات أمان إلى جانب المتطلبات الوظيفية. "أضف مصادقة مستخدم مع تحديد معدل الطلبات والتحقق من المدخلات والمسارات المحمية" ينتج كوداً آمن بدرجة أكبر بكثير من "أضف مصادقة مستخدم".

يمكن لـ Prompt Optimizer الخاص بنا أن يساعدك على إضافة هذه المواصفات الأمنية إلى أي موجهة برمجية تلقائياً.

الإفصاح: بعض الروابط في هذه المقالة هي روابط تابعة. نوصي فقط بالأدوات التي اختبرناها شخصياً ونستخدمها بانتظام. اطلع على سياسة الإفصاح الكاملة الخاصة بنا.