De manier waarop we software schrijven verandert veel sneller dan ontwikkelaars hadden kunnen voorzien. De kern hiervan is ‘vibe coding’ – een techniek waarbij programmeurs generatieve AI gebruiken om sneller code te produceren dan iemand ooit zou kunnen.
Om de omvang van deze verandering aan te tonen, rapporteerde Gartner dat AI-ondersteunde codeontwikkeling op koers ligt om binnen drie jaar 40% van alle nieuwe bedrijfssoftware te gaan uitmaken – en dat is een bescheiden schatting.
Mede-oprichter en CTO van Chainguard.
Op zijn best creëert vibe-codering nieuwe kansen voor ontwikkelaars door hen te helpen tijdrovende taken, zoals het schrijven van boilerplate-code, veel sneller uit te voeren. Die extra tijd geeft teams de mogelijkheid om zich te concentreren op het bouwen, innoveren en leveren van productspecifieke waarde.
Naarmate vibe-coding een vlucht neemt, heeft dit echter ook aanleiding gegeven tot bedreigingen waar ontwikkelaars, beveiligingsteams en technische leiders het hoofd aan moeten bieden. Naarmate meer mensen met code communiceren via natuurlijke taalprompts, kunnen ontwikkelaars steeds meer afstand nemen van het rechtstreeks schrijven van broncode.
Dit schept mogelijkheden voor het invoegen van schadelijke code in softwarestacks.
Snelheid ontmoet controle
Met Vibe-codering kunnen ontwikkelaars niet alleen meer code produceren, maar ook de lat voor codekwaliteit hoger leggen door snellere refactoring en experimenten.
Als het goed wordt gedaan, gaat vibe-codering niet alleen over snellere uitvoer, het gaat ook over het versterken van de kracht van codebeoordeling. Dit kan in sommige opzichten meer junior ontwikkelaars voorbereiden op senior leiderschapsrollen waarbij codebeoordeling een kernverantwoordelijkheid is.
Tegelijkertijd vergroot vibe-codering het oppervlak van de codebase op subtiele maar significante manieren, waardoor deze wordt blootgesteld aan een groter risico op fouten, misbruik en zelfs kwaadwillige injectie.
Zelfs als de individuele kwaliteit van de door AI gegenereerde code zou verbeteren (wat niet altijd gegarandeerd is), zou de enorme hoeveelheid code die wordt gegenereerd kunnen resulteren in een groter totaal aantal defecten.
Rigoureuze beoordeling, testen en gezond scepticisme zijn belangrijk voor elke code, of deze nu door mensen of door AI is geschreven, zodat bugs of onveilige patronen niet door de kieren glippen.
AI lijkt veel op een onvermoeibare junior-ingenieur zonder ego. Het heeft een groot potentieel, maar heeft voortdurend toezicht en vangrails nodig. Wanneer een stagiair de productie verbreekt, geven we niet alleen de stagiair de schuld; wij erkennen het als een mislukking van de processen en het toezicht van het team.
Hetzelfde geldt voor AI. Als je een AI-agent schadelijke code in productie laat brengen, is het niet alleen de AI die faalt; het is een mislukking van de beoordeling, het testen en het bestuur. De resultaten van vibratiecodering kunnen transformatief zijn met de juiste vangrails en procedures.
Zonder hen riskeert u kwetsbaarheden te introduceren door weglatingen en gokt u met uw beveiligingshouding.
Aansprakelijkheid die verder gaat dan alleen autoriseren: herkomst eerst
De opkomst van vibe-codering is vergelijkbaar met de begindagen van open source-software. Ontwikkelaars zouden sneller kunnen bouwen door code te hergebruiken die iemand anders heeft geschreven en gepubliceerd, in plaats van deze zelf helemaal opnieuw te schrijven.
Maar toen open source de basis werd voor moderne software, leerden organisaties een cruciale les: je bent nog steeds verantwoordelijk voor wat er in je omgevingen draait, zelfs als je niet elk onderdeel zelf hebt gemaakt. Hetzelfde geldt nu voor vibe-codering.
AI elimineert de noodzaak van vakmanschap niet, het verandert de context waarin het wordt gebruikt. Het goed gebruiken van AI vergt veel menselijk werk, en ontwikkelaars moeten de manier waarop ze denken over kwaliteit, beoordeling en eigendom veranderen.
Een gemakkelijke fout is om automatisch gegenereerde ideeën te accepteren zonder ze eerst te beoordelen. Dit veroorzaakt niet alleen AI-slop, maar kan uw bouwomgevingen ook gevoeliger maken voor kwetsbaarheden.
AI vervangt zero-days door snelheid
Bedreigingsactoren profiteren nu van dezelfde generatieve AI-mogelijkheden die ontwikkelaars een voorsprong geven. Historisch gezien gebruikten hackers ‘zero day’-kwetsbaarheden (fouten waarvan verdedigers zich niet bewust waren) om geavanceerde aanvallen op tech-stacks uit te voeren.
In feite komt de term ‘zero day’ voort uit het feit dat verdedigers nul dagen de tijd hebben gehad om kwetsbaarheden te patchen voordat ze zich ertegen moesten verdedigen. Vroeger betekende dit dat een aanvaller op de hoogte moest zijn van een kwetsbaarheid voordat de softwareleverancier dat deed.
Vandaag is het scenario veranderd. Vibe-hacking geeft cybercriminelen toegang tot dezelfde generatieve AI-tools als ontwikkelaars; ze wachten niet langer op het vinden of kopen van dure zero days om een aanval te starten.
Dit komt doordat het doorgaans weken of maanden duurt voordat upstream-distributies de kwetsbaarheden hebben gepatcht, en nog langer voordat gebruikers deze patches hebben geïmplementeerd.
Uit gegevens van de Threat Intelligence Group (GTIG) van Google blijkt dat het tempo waarin aanvallers bekende kwetsbaarheden misbruiken dramatisch daalt. Aanvallers kunnen nu bekende kwetsbaarheden misbruiken voordat de meeste organisaties de kans hebben deze te repareren.
In een door vibe gehackte wereld moet de beveiliging doorlopend, proactief en volledig geïntegreerd zijn in de levenscyclus van softwareontwikkeling. Als leiders op het gebied van techniek moeten we ruimtes creëren waar AI veilig en transparant wordt gebruikt, en waar ontwikkelaars door deze tools de kracht krijgen en niet buitenspel worden gezet.
Een veilige benadering van vibe-codering
Het plaatsen van het woord ‘AI’ vóór productiviteitstools verandert niets aan de verantwoordelijkheid van het individu dat het gebruikt. Op dezelfde manier verandert het plaatsen van het woord ‘AI’ vóór automatisering niets aan de verantwoordelijkheid van het bedrijf dat het inzet.
Terwijl AI de manier waarop we bouwen versnelt, evolueert de rol van de ontwikkelaar van schepper naar rentmeester. Het is niet onze verantwoordelijkheid om de AI te overtreffen, maar om ervoor te zorgen dat wat het produceert de kritiek kan doorstaan.
De veiligste weg voorwaarts combineert automatisering met verantwoordelijkheid, en innovatie met intentie. Wanneer ontwikkelaars eigenaar worden van elke door AI ondersteunde coderegel, komen we dichter bij een wereld waarin snelheid en veiligheid elkaar versterken.
We hebben de beste online cybersecuritycursus aanbevolen.
Dit artikel is geproduceerd als onderdeel van TechRadarPro’s Expert Insights-kanaal, waar we de beste en slimste koppen in de huidige technologie-industrie in beeld brengen. De hier geuite standpunten zijn die van de auteur en zijn niet noodzakelijkerwijs die van TechRadarPro of Future plc. Als u geïnteresseerd bent om een bijdrage te leveren, kunt u hier meer lezen: https://www.techradar.com/news/submit-your-story-to-techradar-pro
