Je hebt waarschijnlijk wel eens gehoord van vibe-coding en het is heel goed mogelijk dat je zelf een of twee experimenten hebt uitgevoerd, waarbij je Claude of iemand anders hebt ingeschakeld. AI hulpmiddel om een eenvoudige website of een interactief spel te maken. OpenAI-medeoprichter Andrej Karpathy bedacht de uitdrukking met a tweeten in februari 2025. In de eenvoudigste bewoordingen betekent vibe-codering het vertellen van een AI programmeer wat u wilt bereiken en laat de AI de code maken. Het maakt gebruik van natuurlijke taal die door de gebruiker wordt aangeleverd om de software te genereren.
Vibe-codering is een werkelijk revolutionaire democratiseerder van softwareontwikkeling. Het stelt iedereen met een computer en een beetje fantasie in staat software te bedenken die, althans op het eerste gezicht, lijkt te doen wat je hem vraagt.
En daarin schuilt de kneep. Iedereen in een bedrijf kan mogelijk software binnen de cyberbeveiligingsperimeter van een bedrijf plaatsen zonder de last van enige kennis van hoe software werkt en waarvoor deze mogelijk is ontworpen om buiten uw slimme opdracht om te doen.
Als de code die een medewerker tevoorschijn tovert toevallig algoritmisch is afgeleid van gecontroleerde, openbaar beschikbare bronnen, heeft u geluk. Maar het fundamentele gevaar van door AI gegenereerde code is juist dat je geen idee hebt waar het vandaan komt, wat de bronnen waren of hoe ze zijn samengesteld. Was de bron een promovendus aan een topuniversiteit, een hacker die in een kelder woont, een door de staat gesponsorde cyberterrorist? Al het bovenstaande?
Het AI-programma dat u gebruikt, weet het niet en het kan het ook niets schelen. Het vervult loyaal zijn verblindend snelle en verblindend onbewuste patroonzoekopdracht.
De deur openen voor een ramp
Dat geweldige programma dat u zojuist hebt gemaakt zonder ooit een regel code te hebben leren schrijven, kan spyware, virussen of malware van wereldklasse bevatten die de eigendomsgegevens van een bedrijf of zogenaamde S kunnen extraheren (dat wil zeggen, exfiltreren).QL-injecties die grote schade kunnen aanrichten aan uw databases. Het mooie vanuit het perspectief van de slechte acteur is dat ze geen achterdeur nodig hebben: de zalig onwetende medewerker die de mysteriecode importeerde, zwaaide gewoon de voordeuren wijd open.
Maar wacht, er is meer.
De vibecode die uw medewerker samen met zijn nieuwe AI-collega op magische wijze heeft gegenereerd, kan ook in strijd zijn met het auteursrecht of het octrooirecht. Hoe schat u de waarschijnlijkheid in dat een typische niet-technische medewerker dit ontdekt? Deze kansen zijn waarschijnlijk een getal dat de nul nadert. Door AI gegenereerde IE-aansprakelijkheid kan het procesprofiel van uw bedrijf radicaal veranderen.
Wanneer u code genereert via een LLM, zoals elke code die mensen ontwikkelen, zal deze bugs bevatten. Maar in tegenstelling tot door mensen gegenereerde code, is er niemand op het personeel die volledig begrijpt hoe de code in elkaar zit. Dat omvat ook de vraag of het structureel gezond is, of het coherent is en waar de kwetsbaarheden zich kunnen bevinden. Het aanpakken van dit probleem lijkt momenteel geen grote prioriteit te hebben in de EU verdomde torpedo’s, volle kracht vooruit mentaliteit van het huidige, door AI geobsedeerde moment.
Dus wat kunnen leiders van organisaties doen om dit risico te beheersen en potentiële catastrofes te beperken? Het gevaar begrijpen is de eerste stap. Overweeg de volgende stappen te ondernemen.
Het is een C-level-probleem, dus behandel het als zodanig
AI-beveiliging is niet in de eerste plaats een IT-probleem: het is een bedrijfsbreed strategisch probleem voor het senior management. Gezien de interacties met AI op het gebied van financiën, HR, juridische zaken, verkoop en marketingontwerp, engineering, de technische aspecten van AI-interactie zijn slechts het startpunt. AI-beveiliging moet worden behandeld als een bedrijfskwestie. Het kan niet zomaar aan IT worden gedelegeerd, zoals de standaardprocedure bij cyberbeveiliging is.
Bouw veiligheid in uw proces
Wacht niet met reageren achteraf. Als het om AI-risico’s gaat, is de oude aanpak van het creëren van beleid en het laten erkennen ervan door medewerkers niet voldoende. Risicomonitoring en -sanering moeten deel uitmaken van de technische processen zelf, en geen afzonderlijk statisch beleid waarvan je hoopt dat het wordt gevolgd terwijl het ergens digitaal stof verzamelt in een of andere virtuele map. Er zijn nieuwe softwareprogramma’s die zijn ontworpen om dit soort risico’s te signaleren, beoordelen, kwantificeren en aan te pakken voordat ze uitmonden in een crisis. Overweeg om ze vroeg of laat in te voeren om ervoor te zorgen dat uw beveiliging gelijke tred houdt met de AI-implementatie.
Eis verantwoordelijkheid van aanbieders
Vraag uw leveranciers uitdrukkelijk om te beschrijven hoe AI in hun applicaties is geïntegreerd, wat de risico’s zijn, hoe deze kunnen worden beoordeeld en aangepakt in realtime (seconden of minuten, niet kwartalen) zoals ze zich in de applicatie zelf voordoen. Dit wordt snel een nieuwe vereiste die veel verder gaat dan de standaard check-the-box-beveiligingsvragenlijst.
Raadpleeg de deskundigen
Er ontstaat een nieuwe industrie die tot doel heeft de kloof te dichten tussen de explosie van AI-gebruik in organisaties op alle niveaus en het gebrek aan responsprotocollen voor de grotendeels ongeïdentificeerde risico’s die in datzelfde razend tempo ontstaan. Het is de moeite waard om advies in te winnen bij deskundigen.
Het vermogen van AI om niet-technische medewerkers code te laten maken, is werkelijk revolutionair. Maar zoals de geschiedenis leert, kunnen revoluties verschillende kanten op gaan. Het is van cruciaal belang om zich bewust te zijn van de nieuwe risico’s die inherent zijn aan deze nieuwe mogelijkheden en deze aan te pakken. Vibes kan je alleen tot nu toe brengen.
