एक अध्ययन में पाया गया कि AI द्वारा उत्पन्न कोड में प्रमुख समस्याएं होने की संभावना 1.7x अधिक है और सुरक्षा कमजोरियां होने की संभावना मानव-लिखित कोड की तुलना में 2.74x अधिक है। यदि आपने Cursor, Claude Code, या GitHub Copilot के साथ कुछ भी बनाया है, तो आपके प्रोजेक्ट में पाँच सबसे आम सुरक्षा छिद्रों में से कम से कम एक होने की संभावना है। ये क्या हैं और उन्हें कैसे खोजें।
- 45% AI-उत्पन्न कोड में कम से कम एक सुरक्षा कमजोरी होती है
- 1.7x मानव-लिखित कोड की तुलना में प्रमुख समस्याएं होने की अधिक संभावना
- 2.74x विशेष रूप से सुरक्षा कमजोरियों के लिए अधिक प्रवण
- सबसे सामान्य: हार्डकोडेड API कुंजियाँ, इनपुट सत्यापन की कमी, पंक्ति-स्तरीय सुरक्षा नहीं
- ऑडिट करने का समय: एक विशिष्ट vibe-coded प्रोजेक्ट के लिए 2-3 घंटे
- अंतिम सत्यापन: अप्रैल 2026
AI कोड असुरक्षित क्यों है
AI कोडिंग टूल "क्या यह काम करता है?" के लिए अनुकूलित करते हैं "क्या यह सुरक्षित है?" नहीं। जब आप Cursor से "उपयोगकर्ता प्रमाणीकरण जोड़ें" कहते हैं, तो यह उपयोगकर्ताओं को प्रमाणित करने वाला कोड उत्पन्न करता है। यह स्वचालित रूप से दर सीमा, इनपुट सैनिटाइजेशन, CSRF सुरक्षा, या सुरक्षित सेशन प्रबंधन नहीं जोड़ता — क्योंकि आपने उन चीजों के लिए नहीं कहा।
AI ठीक वही लिखता है जो आप वर्णन करते हैं। सुरक्षा के लिए उन चीजों का वर्णन करने की आवश्यकता है जिनके बारे में आप स्वाभाविक रूप से नहीं सोचते — एज केस, दुर्भावनापूर्ण इनपुट, अनुपयोगी एक्सेस पैटर्न। यदि यह आपके प्रॉम्प्ट में नहीं है, तो यह आपके कोड में नहीं है।
5 सबसे सामान्य कमजोरियाँ
1. फ्रंटएंड कोड में हार्डकोडेड API कुंजियाँ। AI अक्सर API कुंजियों को सीधे क्लाइंट-साइड JavaScript या React कंपोनेंट में रखता है। कोई भी ब्राउज़र DevTools खोल सकता है और उन्हें देख सकता है। फिक्स: सभी कुंजियों को environment variables (.env फ़ाइलों) में स्थानांतरित करें और केवल सर्वर-साइड से उनतक पहुँचें। समय: 15 मिनट।
2. डेटाबेस पर पंक्ति-स्तरीय सुरक्षा नहीं। यदि आप Supabase का उपयोग कर रहे हैं (vibe coding में सामान्य), तो AI-उत्पन्न कोड अक्सर प्रत्येक प्रमाणित उपयोगकर्ता को हर दूसरे उपयोगकर्ता के डेटा तक पहुँच देता है। फिक्स: Row Level Security सक्षम करें और प्रति-उपयोगकर्ता नीतियाँ जोड़ें। समय: 30 मिनट।
3. कोई सर्वर-साइड इनपुट सत्यापन नहीं। फॉर्म कुछ भी स्वीकार करते हैं — स्क्रिप्ट, ओवरसाइज़्ड पेलोड, SQL इंजेक्शन प्रयास। AI क्लाइंट-साइड सत्यापन जोड़ता है (जिसे उपयोगकर्ता बायपास कर सकते हैं) लेकिन सर्वर-साइड सत्यापन छोड़ता है। फिक्स: प्रत्येक API endpoint पर Zod schemas या समान सत्यापन जोड़ें। समय: प्रति endpoint 30 मिनट।
4. कोई दर सीमा नहीं। कोई भी आपके API को प्रति सेकंड 1,000 बार हिट कर सकता है। कोई throttling नहीं, दुर्व्यवहार से कोई सुरक्षा नहीं। फिक्स: Upstash Redis या समान के माध्यम से दर सीमा जोड़ें। समय: 20 मिनट।
5. असुरक्षित रूट्स। डैशबोर्ड पेज, एडमिन पैनल, और उपयोगकर्ता डेटा endpoints यह जांचे बिना लोड होते हैं कि उपयोगकर्ता लॉगिन है या नहीं। फिक्स: प्रत्येक सुरक्षित रूट में प्रमाणीकरण middleware जोड़ें। समय: 15 मिनट।
इससे मूल्य मिल रहा है? हम AI-निर्मित प्रोजेक्ट के लिए सुरक्षा गाइड साप्ताहिक रूप से प्रकाशित करते हैं। उन पाठकों से जुड़ें जो सुरक्षित रूप से बनाते हैं →
अपने प्रोजेक्ट का ऑडिट कैसे करें
AI कोडिंग टूल्स के साथ बनाए गए किसी भी प्रोजेक्ट के लिए इस चेकलिस्ट के माध्यम से चलें:
हार्डकोडेड कुंजियों के लिए अपनी संपूर्ण codebase खोजें। चलाएं: grep -r "sk-" . && grep -r "api_key" . && grep -r "secret" . अपनी प्रोजेक्ट डायरेक्टरी में। फ्रंटएंड फ़ाइलों में कोई भी मैच महत्वपूर्ण कमजोरियाँ हैं।
इनपुट सत्यापन के लिए प्रत्येक API endpoint की जाँच करें। प्रत्येक API रूट फ़ाइल खोलें। यदि यह सीधे req.body को सत्यापन के बिना उपयोग करता है, तो यह असुरक्षित है।
डेटाबेस सुरक्षा सत्यापित करें। यदि Supabase का उपयोग कर रहे हैं, तो Authentication → Policies टैब जाँचें। यदि कोई RLS नीतियाँ नहीं हैं, तो हर उपयोगकर्ता हर दूसरे उपयोगकर्ता का डेटा देख सकता है।
प्रत्येक पेज पर प्रमाणीकरण का परीक्षण करें। अपने ब्राउज़र को incognito मोड में खोलें (लॉगिन नहीं किया गया) और अपने ऐप के हर पेज पर नेविगेट करें। यदि कोई भी डैशबोर्ड या उपयोगकर्ता-विशिष्ट पेज लोड होता है, तो वह रूट असुरक्षित है।
दर सीमा की जाँच करें। एक सरल स्क्रिप्ट का उपयोग करके तेजी से 100 बार अपने API endpoint को हिट करने का प्रयास करें। यदि सभी 100 सफल हों, तो आपके पास कोई दर सीमा नहीं है।
एक पूर्ण सुरक्षा चेकलिस्ट के लिए, हमारी vibe-coded ऐप्स को सुरक्षित करने के लिए पूर्ण गाइड देखें। सबसे सामान्य गलतियों और उनके फिक्स के लिए, 5 सुरक्षा गलतियाँ जो हर vibe coder करता है पढ़ें।
मानसिकता में बदलाव
AI ऐसा कोड लिखता है जो काम करता है। आपको यह सुनिश्चित करना होगा कि कोड सुरक्षित है। ये दो अलग-अलग कौशल हैं। AI कोडिंग टूल के लिए प्रत्येक प्रॉम्प्ट में कार्यात्मक आवश्यकताओं के साथ सुरक्षा आवश्यकताएं शामिल होनी चाहिए। "दर सीमा, इनपुट सत्यापन, और सुरक्षित रूट्स के साथ उपयोगकर्ता प्रमाणीकरण जोड़ें" "उपयोगकर्ता प्रमाणीकरण जोड़ें" से नाटकीय रूप से अधिक सुरक्षित कोड उत्पन्न करता है।
हमारा Prompt Optimizer आपको किसी भी कोडिंग प्रॉम्प्ट में स्वचालित रूप से ये सुरक्षा विनिर्देश जोड़ने में मदद कर सकता है।
यह हम हर हफ्ते करते हैं। AI टूल्स, वर्कफ़्लो, और ईमानदारी के विचारों पर एक गहरी खोज — कोई hype नहीं, कोई filler नहीं। हमारे साथ जुड़ें →
प्रकटीकरण: इस लेख में कुछ लिंक संबद्ध लिंक हैं। हम केवल उन टूल्स की सिफारिश करते हैं जिन्हें हमने व्यक्तिगत रूप से परीक्षण किया है और नियमित रूप से उपयोग करते हैं। हमारी पूर्ण प्रकटीकरण नीति देखें।