For ikke så længe siden krævede softwareudvikling dyb teknisk viden, mange timers arbejde og linjer af manuelt skrevet kode.
I dag kan en simpel prompt udføre store dele af det samme arbejde på få sekunder.
Det der nogle gange kaldes ”vibe coding”, hvor udviklere instruerer AI-modeller til at generere kode i stedet for at skrive den selv, er ved hurtigt at ændre hvordan software bygges. Det gør udviklingen hurtigere, mere tilgængelig og mere effektiv. For mange organisationer er det en oplagt mulighed for hurtigere lanceringer, højere produktivitet og en innovationshastighed, der tidligere var svær at opnå.
Men når stadig mere af softwareudviklingen overlades til maskiner, opstår der også et afgørende spørgsmål: hvis vi ikke længere skriver koden selv, hvordan ved vi så, at den er sikker?
Kode er aldrig kun funktionalitet. Den er også en potentiel sårbarhed.
Nadir Izrael, CTO og medstifter, Armis from ServiceNow
Efterhånden som AI-genereret kode bliver mere udbredt, øges risikoen for, at sårbarheder føres ind i organisationers miljøer. Det der tidligere ofte handlede om menneskelige fejl, kan nu skabes systematisk og i stor skala.
Forskning fra Armis Labs viser, hvor alvorligt problemet virkelig er. I en række kritiske udviklingsscenarier mislykkedes samtlige ledende generative AI-modeller med at producere sikker kode. Selv nyere og mere avancerede modeller som Gemini og Claude genererede sårbar kode i mere end 30 procent af tilfældene. Svaghederne fandtes blandt andet inden for autentificering, filhåndtering og hukommelsesstyring. Problemet ligger dog ikke kun i selve koden, det ligger også i hvor hurtigt vi begynder at stole på den.
I takt med at AI-genereret kode, tredjepartskomponenter og åbne biblioteker bliver en stadig større del af udviklingsflowet, stoler mange organisationer på kode, som de ikke selv har skrevet og ofte ikke fuldt ud kan gennemgå. Det skaber et voksende kløft mellem oplevet og faktisk sikkerhed.
Forskning, vi har fået gennemført, viser, at 77 procent af organisationer stoler på integriteten af tredjepartskode, der bruges i deres mest kritiske applikationer. Lige så mange mener, at AI-assisteret kode gennemgås ordentligt for alvorlige sårbarheder. Samtidig mangler mange organisationer fuldt overblik over, hvordan koden er blevet skabt, hvilke komponenter den bygger på, og hvordan den faktisk er blevet gennemgået.
Det er en farlig kombination. Kode genereres hurtigere end den kan sikres og den tillægges tillid hurtigere, end den kan verificeres.
Dette ændrer også trusselsbilledet. Enhver ny funktion, integration eller afhængighed kan skabe en ny vej ind for angribere. Sårbarheder findes sjældent isoleret. De forbinder applikationer, miljøer, leverandører og systemer på måder, der er svære at overskue, og hvor traditionel applikationssikkerhed ikke slår til. Mange ældre arbejdsmetoder bygger på en udviklingsmodel, hvor kode skrives, gennemgås og idriftsættes i klare trin. AI-baseret udvikling fungerer anderledes. Den bygger på kontinuerlig generering, hurtig iteration og en hastigt voksende mængde kode.
Resultatet bliver ikke kun flere sårbarheder, men også mindre klarhed. Sikkerhedsteams får flere fund at håndtere, men ofte for lidt kontekst til at forstå, hvilke svagheder der faktisk betyder mest.
Dette betyder, at organisationer skal gå fra udelukkende at lede efter fejl til at forstå den reelle eksponering. Det er ikke nok at vide, at en sårbarhed findes — man skal forstå, hvilke systemer den påvirker, hvordan den hænger sammen med andre svagheder, og hvilken faktisk forretningsrisiko den udgør. Det kræver bedre indsigt i hele softwarekæden. Organisationer skal vide, hvordan applikationer bygges, hvilke eksterne komponenter de anvender, og hvordan disse er forbundet til øvrige miljøer. Det gælder AI-genereret kode, open source, tredjepartsintegrationer og den infrastruktur, som alt dette hviler på.
Den egentlige udfordring er derfor ikke kun mængden af sårbarheder. Det er, hvordan de hænger sammen.
Når AI ændrer, hvordan software bygges, skal sikkerheden også ændres. I et AI-baseret udviklingsmiljø skabes risiko ikke længere linje for linje, men gennem systemer, komponenter og forbindelser, der ofte er usynlige, indtil noget går galt.
Spørgsmålet er derfor ikke, om vi kan stole på de maskiner, der skriver koden, men hvordan vi håndterer den risiko, der følger med den tillid. Sikkerhed kan ikke længere bygge på antagelsen om, at koden er sikker. Den skal bygge på forståelse af, hvor eksponeringen findes, hvordan den hænger sammen, og hvad den faktisk kan påvirke.
Nadir Izrael, CTO og medstifter, Armis from ServiceNow
