Úvod Blog Podcast Školení a kurz

Publikováno před 11 dny

Moje tatérka prodává účetní software za pajcku

Tatérka, AI, víkend a hotový účetní systém za padesátku měsíčně. Za flat white v kavárně dáte víc. Jenže mezi jehlou a skalpelem je rozdíl. A mezi prototypem a softwarem, kterému svěříte DIČ svých zákazníků, taky. Sebevědomí bohužel nenahrazuje bezpečnostní audit.

Moje tatérka si přes víkend navibecodovala webový účetní systém a nabízí ho cizím lidem za 50 Kč měsíčně. Tetování dělá krásné. Ale dát jí místo jehly skalpel a říct „operuj, princip je podobný“? To asi ne.

Co se stane, když vibecodovanou aplikaci pustíte mezi lidi

Moje tatérka si vybrala účetnictví. Ale úplně stejný příběh se denně odehrává u seznamek, e-shopů, CRM systémů, rezervačních platforem. Fenomén vibe codingu, kdy lidé tvoří aplikace pomocí AI čistě skrze přirozený jazyk, dal náhle komukoliv pocit, že je vývojář. Jsou ale věci, které by člověk neměl vyrábět na koleni a prodávat cizím lidem. Padáky. Jaderné reaktory. A software pracující s jejich daty.

Citlivá data pod ochranou zákona. Jména, e-maily, adresy, platební údaje, to všechno spadá pod GDPR. Únik dat z děravé aplikace znamená pokuty v milionech korun pro provozovatele. A katastrofu pro zákazníky, jejichž data se octnou na internetu.

Bezpečnost, kterou nevidíte. Šifrování hesel, ochrana proti SQL injection, správa přihlášení, zabezpečení API klíčů… Vibecodovaná aplikace vypadá, že funguje. Ale to, že formulář odesílá data, neznamená, že je odesílá bezpečně.

Údržba navěky. Objeví se bezpečnostní díra v knihovně, kterou AI použila? Změní se legislativa? Kdo to opraví, vy, kteří kódu nerozumíte?

Bezpečnostní katastrofy, které se už staly

Nemyslím si, že moje tatérka má zlý úmysl. Ale cesta do pekla je, jak známo, dlážděná dobrými úmysly. A vibe coding z ní udělal dálnici.

Moltbook, sociální síť, jejíž zakladatel se chlubil, že „nenapsal jediný řádek kódu“. Přístupový klíč k databázi byl viditelný přímo ve zdrojovém kódu stránky. Stačilo zmáčknout F12. Výsledek: únik 1,5 milionu přístupových tokenů a 35 000 e-mailových adres.

Tea, seznamovací aplikace pro ženy, navržená jako bezpečný prostor. Databáze měla nulové zabezpečení. Vůbec žádné. Výsledek: únik 72 000 fotografií včetně 13 000 občanských průkazů a pasů, plus přes milion soukromých konverzací. Data skončila na 4chanu. Ženy, které aplikaci používaly, aby se chránily před nebezpečnými lidmi, měly najednou své identity volně přístupné přesně těm, před kterými utíkaly.

Enrichlead, platforma kompletně napsaná v AI editoru Cursor, jak zakladatel hrdě oznamoval. Do 72 hodin od spuštění ji někdo kompletně obešel. Veškeré zabezpečení běželo jen v prohlížeči. Stačilo ve vývojářských nástrojích změnit jednu hodnotu a měli jste plný přístup ke všemu zdarma.

To nejsou ojedinělé příběhy. Studie společnosti Veracode testovala kód generovaný jazykovými modely a zjistila, že 45 % kódu generovaného umělou inteligencí obsahuje bezpečnostní chyby. AI generovaný kód má téměř třikrát více zranitelností než kód psaný lidmi. Důvod je prostý: AI optimalizuje kód tak, aby fungoval, ne aby byl bezpečný. Bezpečnostní kontrola je pro ni jen další chyba bránící spuštění programu. A chyby se přece opravují, že.

Dunning-Krugerův efekt ve vibe codingu: proč nevidíte to, co nevidíte

Moje tatérka není hloupá. Naopak, je šikovná a podnikavá. Právě proto je to tak nebezpečné. Má za sebou úspěšný víkend s AI, aplikace běží, vypadá profesionálně. Proč by měla pochybovat?

Protože nevidí, co chybí:

  • Hesla uživatelů uložená v databázi jako holý text bez šifrování.
  • Přístupové klíče viditelné přímo v kódu stránky.
  • Nulová ochrana proti vložení škodlivých příkazů do formulářů.
  • Žádné zálohování dat.
  • Správa přihlášení děravá jako cedník.

Sám přes dvacet let vyvíjím open source software, na kterém běží statisíce webů. Vím, kolik neviditelné práce se skrývá v tom, aby aplikace nebyla jen funkční, ale i bezpečná. To, co vidíš na obrazovce, je deset procent ledovce. Zbytek je pod hladinou, a právě tam číhají problémy.

Andrej Karpathy, jeden z tvůrců GPT v OpenAI a autor samotného pojmu vibe coding, k tomu dodává: „Naše práce se přesouvá od psaní kódu k jeho kontrole. Je to jako s praktikanty: nepustíte je do produkce bez důkladného prověření.“

Jenže kdo prověřuje kód mojí tatérce?

Co si můžete navibecodovat bezpečně – a kde končí legrace

Nechci být protivný profík, který říká „nesahejte na to“. Vibe coding je fascinující a demokratizace tvorby softwaru je skvělá věc. Ale je potřeba vědět, kde končí pískoviště a začíná dálnice.

Směle do toho:

  • Osobní web, portfolio, blog, žádná databáze, žádné riziko
  • Kalkulačka, plánovač, poznámky pro vlastní potřebu
  • Prototyp nápadu pro ověření zájmu (ne pro ostrý provoz!)

Tady už potřebuješ profíka:

  • Aplikace s přihlašováním uživatelů
  • Cokoliv s platbami
  • Cokoliv pracující s osobními nebo finančními daty cizích lidí
  • Cokoliv, co chceš prodávat jako placenou službu

Máš skvělý nápad na produkt? Navibecoduj si prototyp. Ukaž ho lidem. Ověř, jestli o to někdo stojí. A pak si najdi vývojáře, který z toho udělá bezpečný produkt. Prototyp ti ušetří měsíce práce a spoustu peněz. Jak na to, i když jsi nikdy neprogramoval? Tady je návod na první kroky.

A pokud jsi na druhé straně, jako zákazník: všímej si ceny. Fakturoid si za nejlevnější tarif účtuje 399 Kč, a za těmi penězi stojí tým vývojářů, bezpečnostních expertů a účetních poradců. Když někdo nabízí totéž za cenu flat white v kavárně, není to výhodná koupě. Je to varování.

Zpátky k jehle a skalpelu

Vibe coding je fantastický nástroj. Ale fantastický nástroj v nesprávných rukou a pro nesprávný účel je recept na průšvih. Až něčí zákazníci zjistí, že jim unikla data nebo že jejich účty napadl útočník, nebude to vina umělé inteligence. Bude to vina člověka, který si myslel, že umí něco, co neumí.

Skalpel totiž neřeže líp jen proto, že ho držíte s větším sebevědomím :-)

Často kladené otázky o vibe codingu a bezpečnosti (FAQ)

Je vibe coding nebezpečný? Sám o sobě ne. Je to skvělý nástroj pro prototypy, osobní projekty a učení. Nebezpečným se stává ve chvíli, kdy vibecodovanou aplikaci bez odborného bezpečnostního auditu nasadíte do provozu a nabízíte cizím lidem, zvlášť pokud pracuje s citlivými daty.

Mohu si navibecodovat vlastní web? Rozhodně. Osobní web, blog nebo portfolio patří mezi nejbezpečnější věci k vibecodování. Neobsahují databázi s cizími daty, nemají přihlašování a nemají prakticky žádný prostor pro útok. Pusťte se do toho.

Kolik stojí vývoj profesionálního softwaru pracujícího s daty uživatelů? Záleží na složitosti, ale i jednoduchá aplikace s přihlašováním a platbami vyžaduje bezpečnostní audity, právní konzultace a průběžnou údržbu. Proto profesionální řešení jako Fakturoid nebo iDoklad stojí stovky korun měsíčně, za těmi penězi stojí lidé, kteří za produkt skutečně ručí.

David Grudl Tvůrce open-source projektů a specialista na AI, který lidem otevírá dveře do světa umělé inteligence. Jeho projekty Nette a další používají weby, které denně navštěvujete. Píše na Uměligence, La Trine a moderuje Tech Guys. Organizuje AI workshopy a věří, že technologie mají smysl jen tehdy, když lidem skutečně pomohou.
↑ blog
← Prvních 30 minut s Claude Code (pro lidi, co nikdy neprogramovali)
→ Claude Code: 6 kroků, aby začal fungovat jako kouzlo
Používáte ChatGPT špatně. Změňte to. Kurz o ChatGPT, Claude a dalších AI nástrojích. 1280+ spokojených absolventů.
Přihlaste se!