Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.

AI-assisterad utveckling har snabbt etablerat sig som ett sätt att öka produktiviteten för mjukvaruutveckling. Men den höga hastigheten innebär också ökade säkerhetsrisker. Enligt observationer från Unit 42 utnyttjas verktygen brett, men utan motsvarande säkerhetskontroller, vilket redan har lett till intrång och produktionsincidenter.

Bättre produktivitet, men ny attackyta

Vibe coding bygger på att utvecklare (och i många fall även icke-utvecklare) skriver en prompt och får fungerande kod tillbaka. Produktionshastigheten är hög, men funktionalitet prioriteras ofta framför säkerhet. Resultatet blir kod där autentisering, rate limiting och andra grundläggande kontroller saknas eller missas helt.

Citizen developers förstärker säkerhetsgapet

Trenden förstärks av så kallade citizen developers, personal utan utvecklingsbakgrund som nu producerar applikationer. Här saknas ofta förståelse för säker utveckling och livscykelkrav. För både ledning och CISO-funktion innebär detta ett växande affärskritiskt säkerhetsgap.

Från hypotetiska scenarier till incidenter

Unit 42 har dokumenterat flera incidenter där AI-genererad kod lett till konsekvenser:

  • Osäker applikationsutveckling: säljapplikation komprometterades när autentisering och rate limiting saknades.
  • Godtycklig kodexekvering: indirekt prompt-injektion gav dataläckage via otillförlitligt innehåll.
  • Autentiserings-bypass: molnapplikation kunde kringgås genom att ange publikt ID i API-anrop.
  • Produktionsdataförlust: AI-agent raderade produktionsdatabas trots uttryckliga instruktioner.

Riskerna är strukturella och kopplade till AI-utvecklingens grundlogik: funktionalitet prioriteras framför säkerhet, modeller saknar miljökontext, hallucinerade beroenden förekommer och övertro på användare leder till sårbarheter.

Tillåts i praktiken – men följs inte upp

De flesta organisationer tillåter vibe coding-verktyg utan tekniska blockeringar. Samtidigt saknas ofta formella riskbedömningar, uppföljning och monitorering av promptar, output och säkerhetsutfall. Produktiviteten skalas – men kontrollen gör det inte.

SHIELD-ramverket: inför kontroller utan att bromsa

För att minska risk krävs inte stopp av tekniken, utan styrning. SHIELD-ramverket återinför säkerhetskontroller i processen:

S – Separation of Duties: Begränsa AI-agenter till utvecklings- och testmiljöer.
H – Human in the Loop: Kräv kodgranskning och godkännande när kritiska funktioner påverkas.
I – Input/Output-validering: Validera AI-input och kör SAST på output innan merge.
E – Enforce Security-Focused Helper Models: Använd specialiserade säkerhetsmodeller för SAST, secrets-scanning och verifiering.
L – Least Agency: Minimera behörigheter och blockera destruktiva kommandon.
D – Defensive Technical Controls: Utför SCA på komponenter och inaktivera auto-exekvering.

Säkerhet behöver skalas i samma takt som kod

Vibe coding är redan etablerat och kommer inte att försvinna. Men att öka produktiviteten utan att hantera den ökade attackytan är inte hållbart. Organisationer som lyckas blir de som kombinerar hastighet med kontroller, inte de som tvingas välja mellan dem.

Av: Jesper Olsen, CISO Northern Europe, Palo Alto Networks

Redaktionen Aktuell Säkerhet

Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik

ANNONS

Sambandsspecialist

Vill du vara med och skapa en ny sambandsfunktion som stärker flera kommuners förmåga att leda och kommunicera [...]