Bezpečnost AI-generovaných aplikací: Proč potřebujete audit
·
·
Adam Tretera
AI píše kód — ale kdo ho kontroluje?
Nástroje jako GitHub Copilot, ChatGPT a Claude dramaticky zrychlily vývoj softwaru. Vývojáři dnes generují celé funkce a API endpointy pomocí AI během minut. Problém? AI nemá ponětí o bezpečnostním kontextu vaší aplikace. Generuje kód, který „funguje", ale neřeší, zda je bezpečný. A proto potřebujete bezpečnostní audit — ne za rok, ale hned.
Jak vypadá bezpečnostní audit AI kódu
Nejčastější bezpečnostní problémy v AI-generovaném kódu
Na základě našich auditů ve Softero vidíme opakující se vzorce:
1. SQL Injection a NoSQL Injection
AI modely často generují databázové dotazy s přímou interpolací uživatelského vstupu místo parametrizovaných dotazů. Výsledek? Klasická SQL injection zranitelnost.
2. Chybějící validace vstupů
Generovaný kód typicky řeší happy path. Ale co když uživatel pošle 10MB string do pole pro jméno? Nebo negativní číslo jako množství? AI na tyto edge cases nemyslí.
3. Hardcoded secrets a API klíče
V trénovacích datech AI modelů jsou tisíce příkladů s hardcoded tokeny. Model se naučí tento vzor reprodukovat.
4. Zastaralé závislosti a vulnerable packages
AI modely mají knowledge cutoff. Doporučují balíčky a verze, které mohly být bezpečné v době tréninku, ale dnes mají známé CVE.
5. Broken authentication patterns
Session management, JWT validace, CORS konfigurace — oblasti, kde malá chyba má katastrofální následky. AI často generuje kód, který funguje, ale neimplementuje bezpečnostní best practices.
OWASP Top 10 a AI-generovaný kód
AI-generovaný kód je náchylný zejména k těmto kategoriím:
A01: Broken Access Control — CRUD operace bez kontroly oprávnění
A02: Cryptographic Failures — slabé hashovací algoritmy (MD5, SHA1) nebo ukládání dat v plaintextu
A03: Injection — klasická SQL injection i novější varianty jako template injection
A05: Security Misconfiguration — výchozí konfigurace nevhodné pro produkci (CORS *, debug mode)
A06: Vulnerable Components — zastaralé nebo zranitelné knihovny
Regulační dopady: GDPR a NIS2
Bezpečnost AI-generovaného kódu má přímé právní a regulační dopady:
GDPR (čl. 32) — vyžaduje přiměřená technická opatření k ochraně osobních dat. Argument „kód napsal Copilot" vás neochrání před pokutou až 20 milionů EUR
NIS2 — pokud spadáte do regulovaného sektoru, musíte prokazovat adekvátní bezpečnostní kontroly včetně kontroly AI-generovaného kódu
Proč standardní code review nestačí
Běžné code review se zaměřuje na čitelnost a správnost logiky. Bezpečnostní audit zkoumá útočné vektory a simuluje chování útočníka. AI-generovaný kód navíc vypadá přesvědčivě a „čistě", což vede k tomu, že revieweři mu důvěřují víc, než by měli.
Praktické kroky pro týmy, které už AI používají
Automatizovaný SAST — integrujte statickou analýzu bezpečnosti (Semgrep, SonarQube) do CI/CD pipeline
Dependency scanning — Snyk nebo Dependabot pro kontrolu zranitelností v závislostech
Security-focused code review checklist — explicitní kontrolní body: validace vstupů, autorizace, správa secrets
Pravidelné penetrační testy — minimálně jednou za kvartál
Bezpečnostní školení vývojářů — aby tým dokázal rozpoznat zranitelnosti v AI-generovaném kódu
Jak Softero pomáhá
Náš audit AI-generovaných aplikací zahrnuje tři úrovně:
Automatizovaná analýza — SAST nástroje, dependency check, secrets detection
Manuální review — seniorní vývojář prochází kritické části kódu (autentizace, autorizace, platební logika)
Penetrační test — simulujeme reálné útoky na running aplikaci
Výstupem je strukturovaný report s kategorizací nálezů podle závažnosti, ukázkami zranitelného kódu a doporučením opravy. U kritických nálezů dodáváme i hotový patch.
Potřebujete bezpečnostní audit vaší aplikace? Ozvěte se nám na softero.cz — pomůžeme vám zajistit, že váš kód je nejen funkční, ale i bezpečný.