"כלי וייב קודינג מציפים את התוכנה בפרצות חדשות"

חוקרי אקדמיה עקבו אחר כ-50 כלי קידוד בעזרת בינה מלאכותית, וגילו את הצפוי להתגלות: כלי וייב קודינג, דוגמת קלוד של אנת'רופיק, "מציפים את התוכנה בפרצות חדשות".

במאי 2025 נפתח פרויקט לבדיקת פגיעויות בשם "Vibe Security Radar" במעבדת מערכות תוכנה ואבטחה (SSLab). המעבדה היא חלק מבית הספר לאבטחת סייבר ופרטיות של ג'ורג'יה טק, המכון הטכנולוגי של ג'ורג'יה – היושב באטלנטה. מטרת המיזם: לעקוב אחר פגיעויות שהוצגו ישירות על ידי כלי קידוד AI שנכנסו לייעוץ ציבורי, כגון CVE.org, בסיס הנתונים הלאומי של ארה"ב לפגיעויות (NVD), GHSA – בסיס הנתונים הייעוצי של גיטהאב (GitHub), מאגר פגיעויות קוד פתוח (OSV ) וכן RustSec ואחרים.

בחודש מרץ השנה נחשפו לפחות 35 פגיעויות וחשיפות נפוצות (CVE) חדשות. הן היו תוצאה ישירה של קוד שנוצר על ידי בינה מלאכותית. הנתון משקף עלייה לעומת שישה מקרים בינואר ו-15 בפברואר.

הנצ'ינג ג'או, מייסד המיזם, אמר לעיתונות הטכנולוגית בארה”ב כי "כולם אומרים שקוד AI אינו מאובטח, אבל אף אחד לא באמת עוקב אחריו. אנחנו רוצים מספרים אמיתיים. לא מדדים, לא השערות – אלא פגיעויות אמתיות, שמשפיעות על משתמשים אמיתיים". הוא הוסיף כי "העבודה שלנו כיום נחוצה יותר מתמיד, כי ארגונים מעבירים פרויקטים שלמים, הכוללים וייב קודינג – ישר לייצור. עקב האכילס הוא, שאפילו צוותים שמבצעים בדיקת קוד לא יתפסו את כלל השגיאות – כשחצי מבסיס הקוד נוצר על ידי מכונה".

הצוות שבמכון ג'ורג'יה טק עוקב אחרי כ-50 כלי קידוד בעזרת בינה מלאכותית, כולל Claude Code, GitHub Copilot, Cursor, Devin, Windsurf, Aider, Amazon Q ו-Google Jules.

החוקרים מושכים תחילה נתונים ממאגרי פגיעויות ציבוריים, מוצאים את ההתחייבות לפיה תוקנו כל הפגיעויות, ואז עוקבים אחורה – כדי לגלות מי גרם לבאג מלכתחילה. התחייבות בה יש חתימה של כלי בינה מלאכותית – מסומנת על ידי החוקרים. אז הם עושים שימוש בסוכני בינה מלאכותית, כדי להבין את סיבת השורש לכל פגיעות. בסופו של התהליך, הם קובעים האם קוד שנוצר על ידי בינה מלאכותית – תרם לכך.

"מספר הפגיעויות האמיתי שנגרם משימוש בכלי וייב קודינג – גבוה יותר באופן כמעט ודאי מאשר הנתונים שבידינו", סיכם ג'או, "בהתבסס על מה שאנו רואים בפרויקטים כאלה, אנו מעריכים שהנתון האמתי גבוה פי חמישה עד עשרה ממה שאנו מזהים. בנוסף, יש הרבה פגיעויות שלעולם לא מקבלות מזהים ציבוריים (CVE או GHSA), ולכן לא ניתן לעקוב אחריהן בקלות. אני משוכנע שמספר הפגיעויות שנוצרות על ידי כלי קידוד בינה מלאכותית – רק יגדל. יותר קוד מבוסס בינה מלאכותית, משמעו: יותר פגיעויות שהוכנסו על ידי הבינה המלאכותית".