قائمة مراجعة الأمان للبرمجة بالانطباع (Vibe Coding)
يتيح الذكاء الاصطناعي للأشخاص الذين لا يملكون خلفيات تقنية بناء البرمجيات. لقد رأيت باحثة تستخدم Claude لإحياء منصة مهجورة؛ حيث تمكنت من تقليل التكاليف وتحسين الأداء دون أن تكون مطورة محترفة.
هذا أمر مذهل، ولكنه ينطوي أيضًا على مخاطر.
تعني "البرمجة بالانطباع" (Vibe coding) بناء البرمجيات بمساعدة مكثفة من الذكاء الاصطناعي دون إتقان الكود البرمجي الأساسي أو البنية التحتية. إذا قمت بنشر الكود في بيئة الإنتاج (production)، فأنت مطور، وهذا يعني أنك تتحمل المسؤولية.
البرمجة بالانطباع لمدونة شخصية أمر جيد، لكن البرمجة بالانطباع لنظام يتضمن عمليات دفع، وتسجيل دخول، وبيانات مستخدمين أمر مختلف تمامًا. يمكن للذكاء الاصطناعي كتابة كود رائع، لكنه قد يكتب أيضًا ثغرات أمنية خطيرة.
إذا كنت تستخدم الذكاء الاصطناعي لإدارة مشروع ويب، فلا تكتفِ بطلب تشغيل الأمور فحسب، بل استخدمه للعثور على المخاطر. استخدم هذه الأسئلة لمراجعة مشروعك قبل إطلاقه:
- حدد المناطق الحساسة: أين توجد عمليات تسجيل الدخول، والمدفوعات، والبيانات الشخصية؟
- تحقق من الأسرار المكشوفة: هل مفاتيح Stripe أو كلمات المرور أو بيانات اعتماد قاعدة البيانات مرئية في الكود أو في الواجهة الأمامية (frontend)؟
- راجع التبعيات (dependencies): هل مكتباتك قديمة أو مليئة بالثغرات الأمنية المعروفة؟
- راجع عملية المصادقة (authentication): كيف يقوم المستخدمون بتسجيل الدخول؟ هل تم إعداد الجلسات (sessions) وملفات تعريف الارتباط (cookies) بشكل صحيح؟
- تحقق من الصلاحيات (authorization): هل يمكن لمستخدم عادي الوصول إلى بيانات المسؤول بمجرد تغيير معرف (ID) في رابط URL؟
- احمِ وظائف المسؤول: هل لوحة تحكم المسؤول مخفية عبر واجهة المستخدم (UI) فقط، أم أنها محظورة على مستوى الخادم (server)؟
- تحقق من المدفوعات: هل يؤكد الخادم عمليات الدفع عبر الـ webhooks، أم أنه يثق بالواجهة الأمامية فقط؟
- اختبر الـ webhooks: هل يمكن لشخص ما تزييف إشعار دفع لنظامك؟
- تحقق من صحة جميع المدخلات: هل تحمي النماذج وأشرطة البحث من هجمات الحقن (injection attacks)؟
- حدد الاستخدام: هل يمكن للروبوتات (bots) إغراق أدوات تسجيل الدخول أو البحث لديك لزيادة تكاليفك؟
- راقب سجلات الأخطاء: هل تسرب رسائل الخطأ تفاصيل قاعدة البيانات أو كلمات المرور للمستخدمين؟
- أمّن عمليات رفع الملفات: هل تقوم بتقييد أنواع الملفات وأحجامها لمنع الهجمات؟
- قارن بين البيئات: هل تستخدم عن طريق الخطأ مفاتيح الاختبار أو أوضاع تصحيح الأخطاء (debug modes) في بيئة الإنتاج؟
- أنشئ اختبارات بسيطة: هل يمكنك إثبات أن المستخدم لا يمكنه الوصول إلى بيانات شخص آخر؟
- اسأل عن عدم اليقين: اسأل الذكاء الاصطناعي: "ما هي المخاطر الأمنية التي لا يمكنك التحقق منها؟"
لا تسأل الذكاء الاصطناعي عما إذا كان مشروعك آمنًا، بل اطلب منه أن يوضح لك أين يكمن عدم اليقين.
إذا كان مشروعك يؤثر على أشخاص حقيقيين أو أموال حقيقية، فاستعن بخبراء متخصصين. استخدم الذكاء الاصطناعي لطرح أسئلة أفضل، وليس لاستبدال الإشراف البشري.
المصدر: https://dev.to/marciofrayze/15-perguntas-de-seguranca-para-quem-esta-praticando-vibe-coding-1h7j