V minulém článku jsem nadšeně popisoval, jak snadné je pomocí AI (konkrétně Google AI Studio) vytvořit funkční aplikaci pro dohledávání firem bez jediné znalosti programování. Ten skvělý pocit, když jen popisujete své přání a aplikace pod rukama ožívá, je neuvěřitelný. Vibe Coding je revoluce. Jenže jakmile řekneme a, musíme dodat i b. A to je nebezpečí právě té neznalosti kódu.

Když se na kód vůbec nepodíváte (protože mu, stejně jako já, nerozumíte), sice ušetříte čas, ale zároveň absolutně netušíte, co vaše nová aplikace dělá „pod kapotou“. A to v byznysu zavání obrovským průšvihem.

API klíč jako klíč od vašeho domu

V prvním textu jsem zmiňoval, že aplikace potřebuje pro připojení k databázím (jako je Bizmachine Prospector) takzvaný API klíč. AI mě tehdy vyzvala, abych ho zadal. Fungovalo to skvěle. Jenže kam ten klíč vlastně AI uložila?

Pro netechnického člověka je API klíč jen řetězec znaků. Pro útočníka je to ale doslova klíč od vašeho domu. Pokud AI napíše kód nešikovně (tzv. zakóduje klíč přímo do zdrojového textu aplikace) a vy pak tuto aplikaci nahrajete na nějaké veřejné úložiště nebo ji sdílíte s kolegy, vystavujete svůj komerční účet obrovskému riziku.

  • Finanční ztráta: Útočník může přes váš klíč vyčerpat placené limity během několika minut.

  • Únik dat: V horším případě může získat přístup k datům, která máte v dané službě uložena.
    AI sice umí vytvořit aplikaci, ale standardně neřeší bezpečné ukládání citlivých údajů, pokud jí to výslovně a správně nezadáte.

Interní systémy v ohrožení

Skutečné nebezpečí nastává ve chvíli, kdy dostanete skvělý nápad: „Když mi to tak pěkně propojuje externí databáze, proč nenechám AI, aby mi aplikaci napojila na náš interní firemní systém nebo CRM?“

Zde se Vibe Coding stává digitální ruskou ruletou. AI generuje kód na základě pravděpodobnosti a vzorů, ze kterých se učila. Často ale ignoruje bezpečnostní standardy firemních sítí. Výsledkem může být aplikace, která sice krásně tahá data z vašeho interního systému, ale zároveň:

  • Obchází firemní firewall.

  • Ignoruje přístupová práva (takže do systému může najednou nahlížet i někdo, kdo by neměl).

  • Nešifruje komunikaci mezi vaším počítačem a firemním serverem.

Stačí, aby se do stejné sítě připojil někdo cizí (třeba na veřejné Wi-Fi v kavárně), a může bez problémů odposlouchávat všechna data, která vaše nová „vibe“ aplikace přenáší.

(Ne)zabezpečení webových aplikací: Pozvánka pro hackery

Když jsem do své první aplikace přidával možnost zadávat text přímo na webové stránce, nenapadlo mě, jak moc je to zranitelné. Webové aplikace vytvořené pomocí AI jsou totiž extrémně náchylné na základní bezpečnostní chyby.

AI totiž tvoří kód tak, aby fungoval, ne primárně tak, aby byl odolný proti útoku. Ošetření všech možných chybových stavů a škodlivých vstupů vyžaduje hluboké programátorské znalosti, které v promptu (zadání pro AI) prostě nezohledníte, protože o nich nevíte.

Závěr: Vibe coding ano, ale s rozumem

Nechci Vibe Coding zatracovat – stále si myslím, že je to úžasný nástroj pro rychlé prototypování, testování nápadů nebo automatizaci drobných osobních úkolů na vlastním počítači nebo na neveřejném serveru.

Jakmile ale vaše aplikace začne pracovat s citlivými daty, API klíči, firemními systémy nebo má běžet veřejně na internetu, končí zábava. V té chvíli by měl nastoupit skutečný programátor nebo bezpečnostní specialista, který kód zkontroluje. AI je skvělý sluha, ale v otázkách kybernetické bezpečnosti může být velmi nebezpečný pán.

Buďte při svém „vibeování“ opatrní, ať si místo usnadnění práce nevyrobíte bezpečnostní noční můru.

Stanislav Jarolímek
Email: stanislav@leadmachine.cz
Úvodní obrázek: Google Gemini