एक अध्ययन में पाया गया कि AI-जनित कोड में मानव-लिखित कोड की तुलना में 1.7 गुना अधिक गंभीर समस्याएं होने की संभावना है और 2.74 गुना अधिक सुरक्षा कमजोरियों का खतरा है। अगर आपने Cursor, Claude Code, या GitHub Copilot के साथ कुछ भी बनाया है, तो आपके प्रोजेक्ट में संभवतः पांच सबसे आम सुरक्षा छिद्रों में से कम से कम एक है। ये क्या हैं और उन्हें कैसे खोजें।
- 45% AI-जनित कोड में कम से कम एक सुरक्षा कमजोरी होती है
- 1.7x मानव-लिखित कोड की तुलना में गंभीर समस्याएं होने की अधिक संभावना
- 2.74x विशेष रूप से सुरक्षा कमजोरियों के लिए अधिक प्रवण
- सबसे सामान्य: हार्डकोडेड API कुंजियाँ, इनपुट सत्यापन की कमी, पंक्ति-स्तरीय सुरक्षा नहीं
- ऑडिट का समय: एक विशिष्ट vibe-coded प्रोजेक्ट के लिए 2-3 घंटे
- अंतिम सत्यापन: अप्रैल 2026
AI कोड कमजोर क्यों है
AI कोडिंग टूल्स "क्या यह काम करता है?" के लिए ऑप्टिमाइज़ करते हैं, न कि "क्या यह सुरक्षित है?" के लिए। जब आप Cursor से "उपयोगकर्ता प्रमाणीकरण जोड़ें" कहते हैं, तो यह उपयोगकर्ताओं को प्रमाणित करने वाला कोड जेनरेट करता है। यह स्वचालित रूप से दर सीमा, इनपुट सैनिटाइजेशन, CSRF सुरक्षा, या सुरक्षित सत्र प्रबंधन नहीं जोड़ता — क्योंकि आपने उन चीजों के लिए नहीं कहा।
AI बिल्कुल वही लिखता है जो आप वर्णन करते हैं। सुरक्षा के लिए उन चीजों का वर्णन करने की आवश्यकता है जिनके बारे में आप स्वाभाविक रूप से नहीं सोचते — किनारे की स्थितियां, दुर्भावनापूर्ण इनपुट, अनधिकृत पहुंच पैटर्न। अगर यह आपके प्रॉम्प्ट में नहीं है, तो यह आपके कोड में नहीं है।
5 सबसे सामान्य कमजोरियां
1. फ्रंटएंड कोड में हार्डकोडेड API कुंजियां। AI अक्सर API कुंजियों को क्लाइंट-साइड JavaScript या React घटकों में सीधे रखता है। कोई भी ब्राउज़र DevTools खोलकर उन्हें देख सकता है। समाधान: सभी कुंजियों को पर्यावरण चर (.env फ़ाइलें) में स्थानांतरित करें और केवल सर्वर-साइड से उन्हें एक्सेस करें। समय: 15 मिनट।
2. डेटाबेस पर पंक्ति-स्तरीय सुरक्षा नहीं। अगर आप Supabase का उपयोग कर रहे हैं (vibe कोडिंग में आम), तो AI-जनित कोड अक्सर हर प्रमाणित उपयोगकर्ता को हर दूसरे उपयोगकर्ता के डेटा तक पहुंच देता है। समाधान: Row Level Security को सक्षम करें और प्रति-उपयोगकर्ता नीतियां जोड़ें। समय: 30 मिनट।
3. सर्वर-साइड इनपुट सत्यापन नहीं। फॉर्म कुछ भी स्वीकार करते हैं — स्क्रिप्ट, अत्यधिक आकार के पेलोड, SQL इंजेक्शन प्रयास। AI क्लाइंट-साइड सत्यापन जोड़ता है (जिसे उपयोगकर्ता बायपास कर सकते हैं) लेकिन सर्वर-साइड सत्यापन को छोड़ देता है। समाधान: हर API एंडपॉइंट पर Zod स्कीमा या समान सत्यापन जोड़ें। समय: प्रति एंडपॉइंट 30 मिनट।
4. दर सीमा नहीं। कोई भी आपके API को प्रति सेकंड 1,000 बार हिट कर सकता है। कोई थ्रॉटलिंग नहीं, दुरुपयोग से कोई सुरक्षा नहीं। समाधान: Upstash Redis या समान के माध्यम से दर सीमा जोड़ें। समय: 20 मिनट।
5. असुरक्षित रूट। डैशबोर्ड पृष्ठ, व्यवस्थापक पैनल, और उपयोगकर्ता डेटा एंडपॉइंट यह जांचे बिना लोड होते हैं कि उपयोगकर्ता लॉगिन है या नहीं। समाधान: हर संरक्षित रूट में प्रमाणीकरण मिडलवेयर जोड़ें। समय: 15 मिनट।
इससे मूल्य मिल रहा है? हम AI-निर्मित प्रोजेक्ट के लिए साप्ताहिक सुरक्षा गाइड प्रकाशित करते हैं। सुरक्षित रूप से बनाने वाले पाठकों से जुड़ें →
अपने प्रोजेक्ट को कैसे ऑडिट करें
AI कोडिंग टूल्स के साथ बने किसी भी प्रोजेक्ट के लिए इस चेकलिस्ट को चलाएं:
अपने संपूर्ण कोडबेस में हार्डकोडेड कुंजियों की खोज करें। चलाएं: grep -r "sk-" . && grep -r "api_key" . && grep -r "secret" . अपनी प्रोजेक्ट निर्देशिका में। फ्रंटएंड फ़ाइलों में कोई भी मिलान गंभीर कमजोरी है।
हर API एंडपॉइंट को इनपुट सत्यापन के लिए जांचें। प्रत्येक API रूट फ़ाइल खोलें। अगर यह सत्यापन के बिना सीधे req.body का उपयोग करता है, तो यह कमजोर है।
डेटाबेस सुरक्षा सत्यापित करें। Supabase का उपयोग करते समय, Authentication → Policies टैब जांचें। अगर कोई RLS नीतियां नहीं हैं, तो हर उपयोगकर्ता हर दूसरे उपयोगकर्ता का डेटा देख सकता है।
हर पृष्ठ पर प्रमाणीकरण का परीक्षण करें। अपने ब्राउज़र को गुप्त मोड में खोलें (लॉगिन नहीं) और अपने ऐप के हर पृष्ठ पर नेविगेट करें। अगर कोई डैशबोर्ड या उपयोगकर्ता-विशिष्ट पृष्ठ लोड होता है, तो वह रूट असुरक्षित है।
दर सीमा के लिए जांचें। एक साधारण स्क्रिप्ट का उपयोग करके अपने API एंडपॉइंट को तेजी से 100 बार हिट करने का प्रयास करें। अगर सभी 100 सफल होते हैं, तो आपके पास दर सीमा नहीं है।
एक पूर्ण सुरक्षा चेकलिस्ट के लिए, हमारी vibe-coded ऐप्स को सुरक्षित करने के लिए पूरी गाइड देखें। सबसे सामान्य गलतियों और उनके समाधानों के लिए, 5 सुरक्षा गलतियां जो हर vibe coder करता है पढ़ें।
मानसिकता में बदलाव
AI ऐसा कोड लिखता है जो काम करता है। आपको सुनिश्चित करने की आवश्यकता है कि कोड सुरक्षित है। ये दो अलग-अलग कौशल हैं। AI कोडिंग टूल के प्रत्येक प्रॉम्प्ट में कार्यात्मक आवश्यकताओं के साथ-साथ सुरक्षा आवश्यकताएं शामिल होनी चाहिए। "दर सीमा, इनपुट सत्यापन, और संरक्षित रूट के साथ उपयोगकर्ता प्रमाणीकरण जोड़ें" बस "उपयोगकर्ता प्रमाणीकरण जोड़ें" से नाटकीय रूप से अधिक सुरक्षित कोड तैयार करता है।
हमारा Prompt Optimizer आपको किसी भी कोडिंग प्रॉम्प्ट में स्वचालित रूप से ये सुरक्षा विनिर्देश जोड़ने में मदद कर सकता है।
यह वह है जो हम हर हफ्ते करते हैं। AI टूल्स, वर्कफ्लो और ईमानदार विचार पर एक गहन विश्लेषण — कोई हाइप नहीं, कोई भराव नहीं। हमसे जुड़ें →
प्रकटीकरण: इस लेख में कुछ लिंक सहबद्ध लिंक हैं। हम केवल उन्हीं टूल्स की सलाह देते हैं जिन्हें हमने व्यक्तिगत रूप से परीक्षण किया है और नियमित रूप से उपयोग करते हैं। हमारी पूर्ण प्रकटीकरण नीति देखें।