Du behöver inte kunna koda för att bygga en app – men säkerhetshålen är lika verkliga ändå
AI skriver koden åt dig – men säkerhetshålen fixar den inte själv.
Demokratiseringen av mjukvaruutveckling har en baksida
Det har aldrig varit enklare att förverkliga en idé. Med verktyg som Cursor, ChatGPT och liknande kan vem som helst idag beställa fram en fungerande webbplats, ett eget verktyg eller en liten affärstjänst – utan att skriva en enda rad kod själv. Det är en av de mest spännande sakerna som hänt i teknikens historia, och jag säger det utan förbehåll.
Men entusiasmen måste kombineras med medvetenhet. Och just nu saknas den medvetenheten hos alldeles för många.
The Verge rapporterar om Bob Starr, projektledare inom tekniksektorn, som byggde webbplatsen Boomberg för att visualisera hur amerikanska skattepengar flödar till teknikbolag. Han lanserade den direkt – och upptäckte månader senare att sajten hade en kritisk sårbarhet som hade kunnat ge angripare full tillgång att läsa eller manipulera data.
– Det var ett fullständigt blint fläck i min förståelse av tekniken, och jag är säker på att andra gör samma misstag, säger Starr.
Han är inte ensam. På sociala medier cirkulerar berättelse efter berättelse: en grundare vars AI-agent råkade radera hela företagets produktionsdatabas. En annan som tvingades stänga ned sin webbtjänst efter ett angrepp utifrån. Det är inte längre teoretiska risker – det händer, just nu, i verkliga projekt.
Det handlar inte om vem som skriver koden – utan vad koden gör
Gabriel Bernadett-Shapiro, framstående säkerhetsforskare på SentinelOne, formulerar problemet träffande: det är inte amatörens ambition som är faran. Det är den omärkliga övergången från hobbyprojekt till affärssystem.
– I det ögonblick appen hanterar andra människors personuppgifter förändras kraven helt. Även om den byggdes av en person på en eftermiddag, säger han.
Där är kärnan. En AI kan generera kod som ser professionell ut och fungerar under normala omständigheter. Men säkerhet handlar om vad som händer under onormala omständigheter – när någon aktivt försöker utnyttja systemet. Och det är en dimension som AI-verktygen sällan förklarar för sina användare.
Det är inte AI:ns fel. Det är ett kommunikationsproblem och ett kunskapsgap som branschen ännu inte löst.
Friheten kräver ansvar – men ansvaret måste bli tillgängligt
Jag är övertygad om att lösningen inte är att stänga dörren för icke-tekniska byggare. Det vore att kasta bort ett av de mest demokratiserande verktygen vi någonsin fått. Lösningen är att göra säkerhetsmedvetenheten lika tillgänglig som själva byggandet.
När vi sänker tröskeln för att skapa mjukvara måste vi samtidigt sänka tröskeln för att förstå vad som kan gå fel. Det innebär konkret att:
- AI-verktygen själva måste bli bättre på att flagga när ett projekt hanterar känsliga uppgifter och proaktivt föreslå säkerhetsåtgärder
- Byggaren behöver ställa sig frågan redan från start: Kommer andra människors data att lagras här? Om svaret är ja har projektet förändrat karaktär
- Ekosystemet kring dessa verktyg – dokumentation, guider, gemenskaper – behöver lyfta säkerhet som en grundläggande del av varje byggprocess, inte som en avancerad tillvalskurs
Jack Cable, grundare av säkerhetsplattformen Corridor, delar den bilden och understryker att problemet kommer att växa i takt med att fler projekt skalas upp från prototyp till produktionssystem – ofta utan att byggaren ens märker när övergången sker.
En väckarklocka, inte en dödsdom
Det här är inte ett argument mot AI-assisterad utveckling. Det är ett argument för att ta nästa steg i mognad. Vi är i en tidig och brusig fas där verktygen springer iväg snabbare än förståelsen för konsekvenserna.
Det är precis så teknikskiften ser ut i sina tidiga stadier. Och precis som med alla tidigare skiften – från webbens genombrott på 90-talet till mobilappsboomens barnsjukdomar – kommer branschen att anpassa sig, normerna kommer att etableras och verktygen kommer att bli klokare.
Men under tiden bär vi alla ett ansvar: att inte låta entusiasmen göra oss blinda för att koden vi beställer kan komma att hantera riktiga människors riktiga data – och att det kräver mer än en eftermiddag att göra det rätt.
Vår analys
Det vi ser här är ett klassiskt teknikmognadsproblem i realtid. Varje gång ett nytt verktyg demokratiserar en tidigare komplex förmåga uppstår samma mönster: tillgängligheten rusar före medvetenheten. Det hände med webbhotell på 00-talet, med mobilappar på 10-talet, och nu sker det med AI-assisterad mjukvaruutveckling.
Den avgörande frågan är inte om säkerhetsnormerna kommer att höjas – det kommer de att göra, driven av incidenter, reglering och marknadskrafter. Frågan är hur många användare som drabbas innan det sker.
Jag tror vi kommer att se tre parallella utvecklingar: AI-verktygen själva börjar integrera automatiska säkerhetskontroller, en ny kategori av lättillgängliga granskningsverktyg för icke-tekniska byggare växer fram, och regelverken – inte minst inom EU – börjar ställa krav även på småskaliga system som hanterar personuppgifter. Det är en sund utveckling. Men den bör påskyndas, inte avvaktas.