The Verge→ المصدر

ثغرات vibe coding: كيف تخلق المواقع المولدة بواسطة AI ثغرات أمنية يستغلها القراصنة

أنشأ بوب ستار موقع «Boomberg» — وهو أداة لتتبع إنفاق دافعي الضرائب في الولايات المتحدة على التكنولوجيا — باستخدام AI ونشره على الإنترنت فورًا. وبعد عدة أشهر…

ZK
هيئة تحرير Hamidun News
رصد الذكاء الاصطناعي · The Verge
28 يونيو 2026· 2 د
معالج بواسطة الذكاء الاصطناعي من The Verge؛ بتحرير Hamidun News
ثغرات vibe coding: كيف تخلق المواقع المولدة بواسطة AI ثغرات أمنية يستغلها القراصنة
المصدر: The Verge. كولاج: Hamidun News.
◐ استمع للمقال

لقد أعطى برمجة « الذوق » ملايين الناس القدرة على إنشاء تطبيقات بدون معرفة بالبرمجة — يكفي وصف مهمة باللغة الطبيعية وستولد الذكاء الاصطناعي كوداً عاملاً. إنها مريحة وسريعة وغالباً ما تنتج نتائج ممتازة. لكن خلف هذه الإمكانية المتاحة تكمن مشكلة لا يفكر فيها معظم المبتدئين ببساطة: الذكاء الاصطناعي يكتب كوداً عاملاً — لكن ليس دائماً آمناً.

قصة موقع واحد

بوب ستار، مدير مشروع في صناعة التكنولوجيا، استخدم برمجة الذوق لإنشاء موقع الويب « Boomberg » — أداة تُظهر بصرياً كم تذهب أموال الضرائب الأمريكية إلى شركات التكنولوجيا. كان راضياً عن النتيجة وأطلق المشروع فوراً للوصول العام — هكذا تعمل برمجة الذوق: بسرعة، من الفكرة إلى المنتج، بدون مراحل وسيطة. فقط بعد عدة أشهر، اكتشف ستار تفصيلاً مقلقاً: احتوى الكود على حقن SQL. هذه ثغرة أمنية كلاسيكية حيث يمكن للمهاجم قراءة أو تعديل البيانات في قاعدة البيانات ببساطة بصياغة استعلام خاص. كانت الثغرة موجودة منذ البداية — لكن لم يلاحظها أحد.

« كان هذا إهمالاً واضحاً من جانبي. عمى كامل عند تعلم تكنولوجيا جديدة. وأنا متأكد من أن الآخرين يرتكبون نفس الخطأ »، اعترف ستار في محادثة مع

The Verge.

لماذا يفوت الذكاء الاصطناعي التهديدات

أدوات الترميز المدعومة بالذكاء الاصطناعي محسّنة لشيء واحد: جعل الكود يفعل ما يُطلب منه. تولد نتائج عملية بسرعة — لكن الأمان غالباً ما يحتل مرتبة ثانية أو يتم تجاهله تماماً. المشكلة ليست في جودة التوليد. المشكلة هي أن المستخدم الذي لا يملك خبرة في التطوير لا يعرف ما هي الأسئلة التي يجب أن يطرحها. مهندس متمرس، بعد كتابة الكود، سيتحقق دائماً: كيف تدخل البيانات استعلامات قاعدة البيانات، من يملك الوصول إلى الوظائف الإدارية، هل وصلت أي أسرار إلى المستودع. بالنسبة لمعظم مبرمجي الذوق، هذه الأسئلة ببساطة لا تنشأ.

الثغرات النموذجية في مشاريع برمجة الذوق:

  • حقن SQL — الكود لا ينظف مدخلات المستخدم قبل تمريرها إلى قاعدة البيانات
  • مفاتيح API المكشوفة — الأسرار تنتهي مباشرة في الكود المصدري
  • التبعيات المتقادمة — استخدام المكتبات ذات الثغرات المعروفة
  • نقاط نهائية غير محمية — الوظائف الإدارية بدون فحص التفويض
  • ثغرات XSS — إخراج البيانات غير الآمن في المتصفح

لا يجب التقليل من الحجم

لقد تجاوزت برمجة الذوق حالتها نيشية منذ وقت طويل. لقد جذبت Cursor و GitHub Copilot و Replit و Lovable عشرات الملايين من المستخدمين، الكثير منهم يبرمجون للمرة الأولى في حياتهم. بعض هذه المشاريع عبارة عن تجارب شخصية بدون مستخدمين حقيقيين. لكن البعض الآخر يعمل بالفعل على الإنترنت، ويعالج البيانات الحقيقية، ومفتوح للجميع. من المهم أن نفهم: الثغرة التي وجدها ستار ليست غريبة. حقن SQL موجود في قائمة OWASP Top 10 لأكثر من 15 سنة ويظل أحد أكثر المشاكل شيوعاً في تطبيقات الويب. يعيد الذكاء الاصطناعي إنتاجها لأنه تم تدريبه على كود يحتويها.

قصة بوب ستار توضيحية بالضبط لأنه لم يحاول قطع الزوايا — لم يكن يعرف ببساطة ما الذي يجب التحقق منه بالضبط. وهذا هو الخطر الهيكلي الرئيسي لبرمجة الذوق: ليس نية سيئة، بل جهل منهجي.

ماذا يعني هذا

برمجة الذوق تخفض حاجز الدخول إلى التطوير، لكنها لا تزيل المسؤولية عما تطلقه على الإنترنت. إذا كان المشروع يعالج بيانات المستخدمين أو كان ببساطة يمكن الوصول إليه من الإنترنت — فإن التدقيق الأمني الأساسي إلزامي. طلب نفس الذكاء الاصطناعي للتحقق من الكود بحثاً عن الثغرات، ودراسة OWASP Top 10، أو إرسال المشروع لتدقيق سريع من قبل متخصص — هذا بداية جيدة بالفعل.

ZK
Hamidun News
أخبار الذكاء الاصطناعي بدون ضوضاء. اختيار تحريري يومي من أكثر من 400 مصدر. منتج من جمال حميدون، رئيس الذكاء الاصطناعي في Alpina Digital.
قناة TelegramRSShamidun.com

هل تريد التوقف عن قراءة الذكاء الاصطناعي والبدء باستخدامه؟

AI News هو موجز منسق لأخبار الذكاء الاصطناعي. تعلمك Hamidun Academy استخدام الذكاء الاصطناعي في عملك.

ما رأيك؟
جارٍ تحميل التعليقات…