Technology Guides, Tutorials and Travels

Bezpieczeństwo w vibe codingu: jak używać AI do pisania kodu bez proszenia się o kłopoty

Sebastian
Bezpieczeństwo w vibe codingu: jak używać AI do pisania kodu bez proszenia się o kłopoty

O co chodzi z vibe coding i dlaczego bezpieczeństwo zaczyna boleć

Vibe coding to programowanie w trybie „na klimat”. Zamiast siedzieć godzinami nad funkcją, piszesz do AI: „Napisz mi endpoint do logowania z JWT, walidacją i ładnymi błędami, proszę”. I nagle masz 200 linijek kodu. Działa. Magia.

Tak działają GitHub Copilot, ChatGPT, Claude, Cursor i cała reszta AI tools. Dev staje się bardziej reżyserem niż rzemieślnikiem – pisze prompt zamiast kodu linijka po linijce. I to jest super… do momentu, w którym kod ląduje na produkcji, a razem z nim: podatności, wycieki i dziwne decyzje architektoniczne.

Coraz więcej raportów z branżowych źródeł, od serwisów takich jak ITPro po nowe badania na arXiv i przeglądy konferencji ICSE 2026, mówi wprost: AI w kodowaniu przyspiesza pracę, ale też przyspiesza popełnianie błędów. Dokładnie tych, które później kosztują najwięcej.

Najczęściej przewijają się trzy kategorie problemów:

  • podatności bezpieczeństwa – klasyki typu SQL injection, XSS, brak walidacji, brak sprawdzania uprawnień, brak szyfrowania;
  • wycieki danych – klucze API, konfiguracje, dane użytkowników w promptach;
  • błędy architektoniczne – monolity, brak separacji, fatalna obsługa błędów, wszystko w jednym pliku „bo działa”.

Nie chodzi o to, że narzędzia są „złe”. Bardziej o to, że używane bez kontroli działają jak bardzo pewny siebie junior, któremu ktoś dał prawa do merge’a na produkcję bez code review. Co może pójść nie tak?

Podobne dyskusje widać w całej branży. Gdy ktoś analizuje stosy technologiczne w tekstach takich jak „Is Python’s Dominance in AI Overrated? A Deep Dive for Developers”, tak naprawdę pyta: czy wybieramy narzędzia świadomie, czy „bo wszyscy tak robią”. Z AI w kodowaniu jest identycznie.

To nie będzie naukowy wykład, tylko praktyczna, lekka w formie checklista dla founderów i devów: jak pisać prompty, jak testować AI‑kod, kiedy wołać seniora i jak korzystać z narzędzi typu Kiro od AWS, które są nastawione na jakość i bezpieczeństwo, a nie na chaos.

Bo AI może napisać ci funkcję, która działa. Pytanie: dla kogo jeszcze ona działa – dla ciebie, użytkownika, czy także dla atakującego?

Najczęstsze wtopy z AI‑kodem: od podatności po wycieki danych

Badania nad agentami AI z arXiv i prezentacje na ICSE 2026 malują podobny obraz: modele kochają generować kod, który wygląda dobrze, kompiluje się… i ma dziury jak ser szwajcarski.

Podatności bezpieczeństwa: ładny kod, zły kod

AI ma jeden wielki talent: produkuje „ładny” kod. Równo wcięcia, czytelne nazwy, komentarze. Problem w tym, że pod spodem często brakuje podstaw bezpieczeństwa. W raportach z badań pojawiają się w kółko te same wzorce:

  • sklejanie zapytań SQL zwykłymi stringami zamiast użycia parametrów,
  • brak walidacji danych wejściowych („na pewno użytkownik wpisze poprawny e‑mail…”),
  • brak sprawdzania uprawnień – endpoint zwraca, co prosisz, bo po co pytać, kim jesteś,
  • przechowywanie haseł w plain text, bo „tak szybciej zadziała demo”.

Badacze pokazują, że agenci AI uczą się też złych nawyków z publicznego kodu. Jeśli w sieci jest mnóstwo niebezpiecznych snippetów, to model będzie je powtarzał. A ty, patrząc na ładnie sformatowany kod, możesz po prostu mu zaufać.

Wyciek poufnych danych: prompt jako dziura w sejfie

Drugi klasyk: ktoś kopiuje do prompta całą konfigurację produkcyjną. Z kluczami API, hasłami do bazy, danymi klientów. Bo „AI szybciej zrozumie kontekst”.

Problem jest prosty. Wszystko, co wklejasz, może być logowane, analizowane, używane do trenowania modeli lub po prostu wyciec poza twoją organizację. To tak, jakby wysłać wszystkie klucze do biura na publiczny kanał Slacka i napisać „nie udostępniać dalej”.

Wiele firm budzi się dopiero wtedy, gdy ktoś zobaczy swoje dane w historii czatów. A to dopiero początek kłopotów: RODO, regulacje branżowe, reputacja. I nagle vibe coding przestaje być fajnym eksperymentem, a staje się incydentem bezpieczeństwa.

Błędy architektoniczne: mikroserwis, który zjadł sam siebie

AI świetnie „dokleja feature’y”, ale nie ma poczucia całości systemu. Poprosisz o prosty mikroserwis – dostaniesz jeden gigantyczny plik, który robi wszystko: loguje, liczy, zapisuje do bazy, wysyła maile, renderuje HTML i jeszcze robi kawę.

To trochę jak praktykant, który buduje dom od dachu, bo „tak szybciej widać efekt”. A fundamenty? Jakoś to będzie.

Niezależnie od tego, czy backend masz w Node, Pythonie czy czymkolwiek innym, problemy są podobne. Nawet jeśli po lekturze poradnika „File Manipulation in Node.js – Ultimate Guide” czujesz się mistrzem plików i operacji I/O, AI wciąż może wygenerować kod, który zapisuje logi w złym miejscu, nadpisuje dane lub otwiera furtkę do wstrzykiwania treści.

Wniosek jest mało romantyczny: vibe coding bez kontroli to zwykle większe ryzyko niż klasyczne programowanie. Bo nie tylko szybciej dowozisz funkcje, ale też szybciej produkujesz błędy i podatności.

Checklista bezpieczeństwa dla founderów i devów: prompty, testy i kiedy wołać seniora

Jak pisać prompty, żeby AI nie strzelało sobie w stopę

Dobry prompt ogranicza chaos. Zamiast „napisz mi backend do logowania”, napisz: „Napisz tylko funkcję walidującą dane wejściowe użytkownika dla formularza logowania. Użyj istniejących helperów bezpieczeństwa i nie korzystaj bezpośrednio z bazy danych.”

Dodaj jasne zasady:

  • „Nie używaj twardo zakodowanych sekretów. Zakładaj użycie zmiennych środowiskowych.”
  • „Stosuj przygotowane helpery bezpieczeństwa z projektu X.”
  • „Na końcu opisz krótko potencjalne ryzyka bezpieczeństwa tego rozwiązania.”

AI zaczyna wtedy samo wskazywać słabe miejsca. Nie zastąpi to eksperta, ale da ci listę rzeczy, na które warto spojrzeć dwa razy.

Jak testować AI‑kod bez doktoratu z cyberbezpieczeństwa

Prosta procedura wystarczy:

  • Szybki code review – nawet mniej doświadczony dev, ale z checklistą: czy są walidacje? Czy są parametryzowane zapytania SQL? Czy nie ma sekretów w kodzie? Czy są testy błędnych ścieżek?
  • Testy jednostkowe z pomocą AI – poproś model o wygenerowanie testów pod kątem złych danych wejściowych, za długich stringów, pustych wartości.
  • Ręczne „psucie” aplikacji – co się stanie, jeśli użytkownik wleje w formularz 10 000 znaków, wrzuci SQL‑a w polu loginu albo poda datę z roku 9999?

Nie potrzebujesz od razu działu bezpieczeństwa. Potrzebujesz nawyku traktowania AI‑kodu jako podejrzanego, dopóki nie udowodni, że jest inaczej.

Kiedy wołać senior developera, zamiast ufać promptowi

Są obszary, gdzie AI to tylko pomocnik, nigdy główny architekt. Jeśli kod dotyka:

  • płatności i billingów,
  • danych zdrowotnych lub finansowych,
  • autoryzacji, logowania, resetu haseł,
  • kryptografii, szyfrowania, generowania tokenów,
  • krytycznych integracji B2B (EDI, fakturowanie, API partnerów),

to jest to moment, w którym senior musi spojrzeć na rozwiązanie. AI może przygotować szkic, ale decyzje projektowe powinien podjąć ktoś z doświadczeniem i wyczuciem ryzyka.

Kontrola architektury: najpierw kartka, potem AI

Każdą poważniejszą zmianę w systemie najpierw naszkicuj ręcznie – kartka, tablica, prosty diagram. Dopiero potem zaprzęgaj AI do generowania konkretnych modułów, klas i endpointów.

Nawet jeśli kochasz front‑end i po lekturze tekstu „Why Angular Will Dominate Web Development in 2024” jesteś przekonany, że Angular rozwiąże wszystkie twoje problemy, to zła architektura backendu dalej będzie zła. Framework nie naprawi źle zaprojektowanego API ani chaosu w warstwie serwera.

Traktuj tę checklistę jak codzienne „to‑do” przy pracy z AI. Im bardziej jest rutyną, tym mniej szans, że któryś z „magicznych” snippetów rozwali ci produkcję.

Jak korzystać z narzędzi typu Kiro od AWS i ustawić AI na tryb QA, nie chaos

Można pracować z „gołym” chatbotem w przeglądarce, kopiować kod do IDE i liczyć, że będzie dobrze. Można też zrobić to po dorosłemu: użyć narzędzi z wbudowaną kontrolą jakości, logowaniem i bezpieczeństwem. Przykładem jest Kiro od AWS – platforma, która podchodzi do AI‑kodu jak do pełnoprawnego elementu procesu inżynierskiego, a nie gadżetu.

Kluczowe funkcje tego typu rozwiązań to przede wszystkim:

  • traceability – widzisz, skąd wziął się dany fragment kodu, jaki prompt go wygenerował, kiedy i przez kogo został użyty;
  • wymuszone skanowanie podatności – każdy snippet przechodzi przez skaner bezpieczeństwa przed merge’em;
  • integracja z CI/CD – AI‑kod nie omija pipeline’u, ma te same (albo ostrzejsze) zasady co reszta projektu;
  • firmowe reguły bezpieczeństwa – możesz narzucić np. zakaz bezpośredniego łączenia się z bazą, obowiązek użycia określonych bibliotek, zakaz logowania haseł i tokenów.

Idealny workflow wygląda wtedy mniej więcej tak: AI generuje propozycję, narzędzie typu Kiro automatycznie robi przegląd i testy, podświetla ryzyka, a dopiero potem człowiek‑developer decyduje, co wchodzi do kodu. Czyli AI jest szybkim asystentem, a system QA – bramkarzem, który nie wpuszcza wszystkiego na imprezę.

Przeglądy omawiane na ICSE 2026 podkreślają, że największe korzyści z AI w kodowaniu pojawiają się wtedy, gdy łączy się je z twardą dyscypliną inżynierską: jasnymi zasadami, monitoringiem, konsekwentnym code review. Vibe coding może być szybki i wygodny, ale tylko wtedy, gdy founderzy i devy traktują AI jak turbo‑lint, a nie jak „senior full‑stacka”, którego można puścić samopas na produkcję.

Dobry krok na koniec: wróć do checklisty z poprzedniej sekcji i porównaj ją z tym, jak dziś używasz AI w swoim projekcie. Jeśli różnice są duże, to masz gotowy plan na kilka najbliższych sprintów. I sporo mniej powodów, by bać się vibe codingu.

, , , , , ,

Sebastian

Leave a Reply

Your email address will not be published. Required fields are marked *