Ваш ИИ-код — это кошмар с безопасностью. Время внедрять политику нулевого доверия к ИИ.
Автор: Coding Jitsu
Загружено: 2026-06-13
Просмотров: 96
Описание:
Присоединяйтесь к этому каналу, чтобы получить доступ к бонусам:
/ @codingjitsu
Сколько скрытых уязвимостей вы копируете в свое приложение каждый день?
В этом видео мы проводим эксперимент по безопасности в реальном времени. Я ввел 10 стандартных запросов кода в стандартного ИИ-помощника — от создания базового маршрута Express до запроса к MongoDB — и посмотрел на исходный код, который он выдает. Результаты? Полный кошмар с точки зрения безопасности.
Модели ИИ оптимизированы для скорости и мгновенного результата. Они хотят как можно быстрее предоставить вам рабочую версию вашего приложения, чтобы вы продолжали тратить свои токены. Они НЕ оптимизированы для безопасности производственного уровня. Если вы слепо принимаете их результаты или доверяете второму «ИИ-агенту», который волшебным образом проверит их за вас, вы играете в опасную игру со своей производственной базой данных и пользовательскими данными.
Вы несете полную ответственность за проверку своего кода. Вот почему пришло время перейти к политике нулевого доверия в кодировании ИИ: никогда не доверяй, всегда проверяй.
Смотрите, как мы в режиме реального времени проводим аудит всех 10 уязвимостей JavaScript/TypeScript, подробно разбираем, как злоумышленник их использует, и рассматриваем структурные изменения в мышлении, необходимые для защиты ваших приложений. В конце я покажу вам точный профиль правил Markdown, который вы можете внедрить в свои инструменты ИИ, чтобы заставить их прекратить писать ненужный код.
🚀 Разделы с примерами из практики:
0:00 - Дофаминовая ловушка кода ИИ
1:05 - Слепое пятно рецензентов кода ИИ
1:28 - Что такое политика нулевого доверия в ИИ?
2:43 - Уязвимость 1: Загрязнение прототипа и цикл обхода аутентификации
6:25 - Уязвимость 2: Скрытая дверь администратора базы данных
9:55 - Уязвимость 3: Массовое отравление данных
13:30 - Уязвимость 4: Замораживание сервера на 100% ЦП
18:14 - Уязвимость 5: Фишинг через динамические перенаправления
21:51 - Уязвимость 6: Внедрение вредоносных URL-ссылок
26:07 - Уязвимость 7: Утечка внутренних данных сервера
29:50 - Уязвимость 8: Взлом секундомера (подбор ключей методом перебора)
34:37 - Уязвимость 9: Жестко закодированные учетные данные (риски среды-заполнителя)
35:18 - Уязвимость 10: Удаленное выполнение кода в реальном времени
40:41 - Создание собственной системы безопасности ИИ Песочница
📚 Дополнительные ресурсы для углубленного изучения:
10 главных рисков безопасности API по версии OWASP: https://owasp.org/www-project-api-sec...
Документация по лучшим практикам безопасности Node.js: https://nodejs.org/en/learn/getting-s...
Пакет правил с открытым исходным кодом Semgrep (отлично подходит для автоматического обнаружения этих шаблонов): https://semgrep.dev/explore
💾 Получите профиль Zero-Trust AI Markdown (бесплатный GitHub Gist): https://gist.githubusercontent.com/w3...
Если вы когда-либо ловили LLM на попытке внедрить неработающий шаблон в ваш код, оставьте комментарий ниже. Подпишитесь на канал, оставайтесь в безопасности, и давайте продолжим создавать чистые системы!
#ВебРазработка #JavaScript #БезопасностьПриложений #AIКодирование #ПрограммнаяИнженерия #Nodejs #ClaudeAI #ZeroTrust
Повторяем попытку...
Доступные форматы для скачивания:
Скачать видео
-
Информация по загрузке: