Vibe Coding
Sikkerhetsrammer for AI-assistert og AI-generert kode, bygget på Aikido.
Vibe Coding lar både utviklere (og andre) utvikle løsninger i et svært høyt tempo. Denne styrken har noen åpenbare sikkerhetsmessige utfordringer, for selv om det deler mye med ordinær applikasjonssikkerhet ser man at enkelte sikkerhetsutfordringer er overrepresentert ved vibe coding.
- Forsyningskjedeangrep. AI-assistenter finner på pakkenavn som ikke finnes (slopsquatting), foreslår forlatte biblioteker eller typo-squats, altså at programmet henter ned og laster inn et feilstavet bibliotek, med samme beskrivelse som originalen, men som inneholder ondsinnet kode.
- Utviklere limer inn produksjonsdata, nøkler og kundeinformasjon i prompter, samtidig som assistenter legger igjen hemmeligheter i den genererte koden. Med vibe coding-tempo og minimal review havner det i produksjon før noen rekker å oppdage det.
- Logiske feil, f.eks. ved tilgangsstyring. Forsto AI at rollen Saksbehandler ikke skulle se alle de samme sakene som rollen Leder?
- Autentiseringsfeil. Login-bildet ser riktig ut, men er enkelt å forbigå. Testbruker er hardkodet i kildekoden som går ut i produksjon.
- Moderne applikasjoner bruker selv AI for å utføre oppgaver. Er prompten tilstrekkelig sikret? Se også Prompt-beskyttelse.
Med utviklingstempoet vibe coding gir er det uansvarlig å ikke benytte verktøy som overvåker hele livssyklusen, fra første kodelinje til produksjon.
Hva vi leverer
- Aikido i SDLC-en
Aikido koblet til repoene dine, med policy og terskler tilpasset hvordan teamene leverer kode i dag.
- AI-pentest per release
Aikido AI Pentest kjører mot hver release og rapporterer funn med kontekst utviklerne kan handle på.
- Hemmeligheter og lekkasjer
Aikido oppdager hemmeligheter, nøkler og tokens i commits og fanger lekkasjer før de når produksjon.
- Avhengigheter foreslått av AI
Policy for pakker AI-assistenter foreslår, slik at typo-squats og forlatte biblioteker stoppes på vei inn i koden.
- Sikkerhetstilbakemelding i PR
Funn fra Aikido vises i pull request-en der utvikleren allerede er, med kort begrunnelse og forslag til fiks.
- Policy for AI-generert kode
En lesbar policy for hva AI-assistert kode må gjennom før merge, forankret i hvordan teamene leverer.
Slik leveres tjenesten
- I et prosjekt
Aikido innført i SDLC-en, med policy, terskler og første triage-runde på fire til seks uker.
- I en rolle hos kunden
AppSec-rådgiver inne i teamet ditt, med ansvar for Aikido-programmet og AI-kode-policyen.
- Som del av en tjeneste
Inkludert i Secured by FM CyberSecurity, der Aikido-dekningen og AI-pentest per release følger pakken.
Plattformen vi tilbyr
Nylig innsikt om Vibe Coding
- Hvilke regelverk krever regelmessig pentest, og hvordan dere løser det uten manuelt arbeid
Fem regelverk pålegger norske SMB-er regelmessig sikkerhetstesting. Bare ett krever et manuelt red team, og de fleste betaler for mye for resten.
- Slik pentester vi apper som del av ISO 27001-arbeidet
Slik produserer FM CyberSecurity ISO 27001-holdbar pentest-dokumentasjon gjennom Aikido AI Pentest, uten manuell pentest, koblet til vedlegg A 8.29.
- Hvorfor vi valgte Aikido som vår eneste pentest-leverandør
Vi kjører hver pentest gjennom Aikido AI Pentest, fordi den årlige manuelle rapporten havner i en skuff mens applikasjonen ruller ut igjen uken etter.