In de afgelopen jaren heeft AI-gestuurde programmering, bekend als vibe coding, zich gevestigd als een gangbare praktijk binnen softwareontwikkeling. Volgens het State of Cloud Security Report 2025 van Palo Alto Networks gebruikt 99% van de organisaties al AI-agenten in hun ontwikkelingsprocessen. Echter, het laatste rapport van Unit 42, de bedreigingsintelligentie-unit van dit vooraanstaande cybersecuritybedrijf, waarschuwt dat deze aanpak aanzienlijke veiligheidsrisico’s met zich mee kan brengen als de juiste controles ontbreken.
Deze oplossingen maken het mogelijk voor zowel professionele ontwikkelaars als citizen developers — gebruikers zonder geavanceerde technische opleiding op het gebied van codereview of cybersecurity — om grote hoeveelheden operationele code te produceren in een zeer korte tijd. Toch kunnen de gegenereerde software kwetsbaarheden, gebrekkige beveiligingspraktijken of onbetrouwbare afhankelijkheden bevatten die in de vroege testfasen niet worden opgemerkt, en pas aan het licht komen wanneer de applicaties al in productie zijn.
Van ondersteunde ontwikkeling tot geautomatiseerd risico
Volgens Unit 42 ligt het grootste probleem niet in de technologie zelf, maar in de valse veiligheid die het kan creëren door moeilijk detecteerbare beveiligingsfouten te verbergen in vroege stadia. Vibe coding of door AI gemaakte code lijkt vaak “correct” en functioneel, maar is niet per se ontworpen om te voldoen aan secure coding-normen.
Door significante veranderingen in de manier waarop kwetsbaarheden ontstaan, ligt veel van de beveiligingsrisico’s direct tijdens de ontwikkelingsfase, wanneer code automatisch en op grote schaal wordt gegenereerd. Dit vergroot de kans dat verschillende fouten worden geïntroduceerd, zoals:
- Onveilige applicatieontwikkeling die een beveiligingslek veroorzaakt.
- Onveilige logica binnen het platform die leidt tot uitvoering van code.
- Onveilige platformlogica waarmee authenticatie kan worden omzeild.
- Ongeoorloofd verwijderen van databases wat dataverlies veroorzaakt.
Bovendien kunnen deze tools doelwitten worden voor cybercriminelen die proberen het gedrag ervan te manipuleren via verschillende technieken, zoals het injiceren van instructies in programmeurs of het gebruik van codefragmenten van externe bronnen die malware bevatten.
Coderegeling voor een veiligere levenscyclus: een strategische prioriteit
Om dit scenario het hoofd te bieden, heeft Unit 42 het SHIELD-raamwerk gepresenteerd, ontworpen om veilige ontwerpprincipes opnieuw te integreren in AI-ondersteunde codering. Dit raamwerk biedt organisaties een praktische gids om de productiviteit van vibe coding te balanceren met effectief risicobeheer, zodat innovatie niet leidt tot een grotere aanvalsvector:
- S – Scheiding van taken: Vibe coding-platformen kunnen te veel privileges geven. Beperk incompatibele functies en beperk AI-agenten tot ontwikkel- en testomgevingen.
- H – Mens in de lus: Vereist een verplichte menselijke beoordeling en goedkeuring van PR’s voor kritieke code.
- I – Validatie van input/output: Scheid betrouwbare instructies van onbetrouwbare data en pas beveiligingsvalidaties (SAST) toe vóór het samenvoegen van code.
- E – Handhaaf beveiligingsgerichte helpermodellen: Gebruik gespecialiseerde agenten om beveiliging te verifiëren, geheimen te scannen en controles te controleren vóór implementatie.
- L – Minimaal toegangsrecht (Least Privilege): Pas het principe van minimale privileges toe door toegangen en destructieve commando’s te beperken.
- D – Defensieve technische controles: Implementeer SCA en deactiveer zelfuitvoering om toezicht en veiligheid bij implementaties te versterken.
Hoewel vibe coding een natuurlijke evolutie is in softwareontwikkeling, waarschuwt Palo Alto Networks dat veel organisaties belangrijke beveiligingsprincipes zoals het “minimale privilege” verwaarlozen ten gunste van snelheid en functionaliteit. Daarom mag deze praktijk niet zonder grondige veiligheidsreview worden overgenomen, omdat bescherming niet alleen moet plaatsvinden in de latere fases van de applicatielevenscyclus, maar vanaf het ontwerp en de initiële codegeneratie geïntegreerd moet worden om veilige en betrouwbare ontwikkeling te waarborgen.