Как вайбкодинг меняет ландшафт уязвимостей
Пока все смотрят на OWASP Top 10, я всё чаще думаю о том что ➢ С приходом вайбкодинга изменился не сам факт наличия уязвимостей ➢ Изменился их профиль
Этот пост я решил написать из своего опыта хантинга, не как истину, а как наблюдение человека, который регулярно смотрит, что сегодня выкатывают в прод под видом “проекта на миллиард”
━━━━━━━━━━━ Что я стал видеть чаще ━━━━━━━━━━━
За счёт человеческой жадности, желания успеха и скорости запуска я всё чаще вижу проекты, которые собраны через ИИ • без понимания бизнес-процессов • без понимания архитектуры сервиса • без понимания базовой безопасности
Но уже с амбициями стать миллиардерами за счет пользователей и масштабирование на B2B )))
Особенно это видно у ипешников и малого бизнеса. У средних и крупных компаний вайбкодинг тоже есть. Просто там его сложнее вычислить, не 1 актив и не 2, больше шума, больше функционала, больше времени на разбор.
━━━━━━━━━━━ Что ИИ делает уже неплохо ━━━━━━━━━━━
Надо признать честно: часть классических проблем встречается реже.
Я не могу сказать, что инъекции исчезли полностью. Тот же innerHTML всё ещё любит всплывать. Но если говорить про базовые XXE, SQLi, местами RCE на типовых реализациях их действительно стало меньше.
То есть ИИ уже умеет писать код без совсем лобовых ошибок. И на этом хорошие новости заканчиваются😁
━━━━━━━━━━━ Где начинается настоящая боль ━━━━━━━━━━━━
ИИ-агенты очень слабо понимают и реализуют: • бизнес-процессы • аутентификацию и авторизацию • контроль доступа • ролевые модели (IDOR) • безопасную серверную конфигурацию • security headers и политики • актуальный и безопасный стек • корректную загрузку обьектов и их выгрузку • защиту веб-сервера • настройку WAF
━━━━━━━━━━━ Что я видел сам ━━━━━━━━━━━
• пересоздание учётки админа через регистрацию с указанием его почты • чтение чужих данных через IDOR • отсутствие авторизации на чувствительном эндпоинте • лёгкий UID, поддающийся брутфорсу • DoS через формы обратной связи и загрузки файлов • отсутствие капчи и задержек на отправку • множество открытых портов у “сервиса на миллиарды” • слабая парольная политика уровня admin / passw0rd • захардкоженные учётки на фронте
