AI-kodeverktøy er utrolige til å generere fungerende kode. De er ikke gode til å generere sikker kode. Det er ikke fordi de er dårlige — det er fordi sikkerhet handler om hva du ikke gjør, og AI optimaliserer for hva du vil skal skje.
Her er hva jeg ser oftest når jeg gjennomgår AI-genererte kodebaser.
Hardkodede hemmeligheter overalt
Dette er det vanligste problemet. AI-modeller foreslår kode med API-nøkler, database-URL-er og tokens rett i kildefilene. Selv om du flytter dem senere, hvis de noen gang ble committet til git, er de i historikken for alltid.
Fiks: Bruk miljøvariabler fra dag én. Kjør en hemmelighet-scanner (gitleaks, trufflehog) på repoet. Hvis noe ble eksponert, roter det umiddelbart.
Ingen input-validering
AI genererer kode som stoler på brukerinput. Skjemafelt, query-parametre, API-payloads — alle blir sendt direkte til database-queries eller rendret i HTML uten sanitisering.
Fiks: Valider og saniter ved hver systemgrense. Bruk et valideringsbibliotek (Zod, Joi, class-validator). Aldri interpoler brukerinput inn i SQL eller HTML.
Auth som bare sjekker happy path
AI-generert autentisering håndterer typisk innlogging og registrering. Den håndterer sjelden token-utløp pent, hindrer ikke session fixation, og har ofte inkonsekvente autorisasjonssjekker på tvers av ruter.
Fiks: Bruk etablerte auth-biblioteker i stedet for å lage ditt eget. Hvis du må tilpasse, test de uvanlige stiene: utløpte tokens, ugyldige sessions, rolle-eskaleringsforsøk.
CORS satt til å tillate alt
Access-Control-Allow-Origin: * er AI-ens standard fordi det får ting til å fungere. I produksjon betyr det at hvilken som helst nettside kan gjøre forespørsler til API-et ditt på vegne av brukerne dine.
Fiks: Sett CORS til ditt faktiske domene(r). Vær eksplisitt om tillatte metoder og headers.
Ingen rate limiting
AI tenker ikke på misbruk. Login-endepunktet, API-rutene og skjemainnsendingene dine er alle åpne for brute-force-angrep og ressursutmattelse.
Fiks: Legg til rate limiting på sensitive endepunkter. De fleste hosting-plattformer tilbyr dette på infrastrukturnivå, eller bruk middleware i rammeverket ditt.
Avhengigheter med kjente sårbarheter
AI-modeller er trent på eldre kode. De foreslår pakker som kan ha publiserte CVE-er. De tenderer også til å trekke inn flere avhengigheter enn nødvendig, og utvider angrepsflaten din.
Fiks: Kjør npm audit (eller tilsvarende). Fjern ubrukte avhengigheter. Pin versjoner og sett opp automatiserte avhengighetsoppdateringer.
Ingen av disse er grunner til å ikke bruke AI-verktøy. De er grunner til å la et menneske se gjennom de sikkerhetskritiske delene før du lanserer. AI får deg 80 % av veien dit raskt. De siste 20 % er der den ekte risikoen ligger.
Vil du ha en sikkerhetsgjennomgang av AI-bygget prosjektet ditt? Book en teknisk gjennomgang — jeg går gjennom kodebasen din og gir deg en prioritert liste over hva som må fikses.
Vil du ha hjelp til å få prosjektet ditt produksjonsklart?
