Biztonságosabb vibe coding
Az Wiz.io kutatóinak célja, hogy segítsék a fejlesztőket és biztonsági szakembereket az AI-alapú kódgenerálás biztonságosabbá tételében. Az AI által írt kódok – különösen a vibe coding stílus – gyakran tartalmaznak súlyos sebezhetőségeket – tanulmányok szerint minden negyedik–hetedik kód veszélyt jelenthet. A probléma fő oka, hogy a fejlesztők gyakran túlzottan megbíznak az automatikusan generált kódban, ami ilyen észrevehetetlen hibákhoz vezet.
A Wiz.io javaslata szerint kulcsfontosságú eszköz lehet az úgynevezett rules file használata. Ezek az instrukciós fájlok (például GitHub Copilot Custom Instructions, Claude CLAUDE.md vagy Cursor Rules formátumú állományok) megadják az AI-nak, hogy hogyan írjon biztonságos kódot – például: ellenőrizze a bemeneti paramétereket, kerüljön szabad fájlfeltöltést, mindig legyenek autentikációs és jogosultság-ellenőrzések. A mintafájlok nyilvános GitHub-repozitóriumban érhetők el több nyelvhez és keretrendszerhez (Python/Flask, Java/Spring, JavaScript/React, .NET/ASP.NET Core stb.).
A biztonság szempontjából különösen fontos, hogy a rules file használata már az IDE-ben aktiválja a szabályokat, tehát a kód generálásakor még a fejlesztés korai fázisában kiszűrhetők a potenciális hiányosságok. Ezzel lényegesen csökkenthető az olyan problémák jelenléte, mint az injekciós hibák (CWE‑78), hitelesítési hiányosságok (CWE‑306), fájlfeltöltési szabálytalanságok (CWE‑434) vagy memóriakezelési hibák .
A Wiz csapata gyakorlati útmutatót is ad arra vonatkozóan, hogyan állítható össze hatékony és karbantartható rules file: legyen rövid, nyelv-specifikus, atomikus és világos utasításokból álló, 500 sor alatti anyag. Emellett rávilágítanak: már a prompt egyszerű megtoldása, például Generate secure Python code that prevents top CWEs érzékelhető javulást eredményezhet (a sebezhetőségek sűrűsége 30–40 %-kal csökkent)
