एआई कोड, एआई फिक्स: क्या स्वचालन अपने द्वारा निर्मित चीज़ों को सुरक्षित कर सकता है?

आपका वाइब कोडिंग प्रोजेक्ट कमजोरियों से ग्रस्त है!

एआई से सॉफ्टवेयर बनाना अब विज्ञान कथा से रोज़मर्रा की हकीकत बन गया है। आपका एआई-कोडेड प्रोजेक्ट तब तक पूरी तरह से काम कर सकता है... जब तक हैकर्स उसमें खामियाँ नहीं ढूंढ लेते। इस पोस्ट में, हम निष्कर्षों और कमज़ोरियों से भरे एआई-जनरेटेड कोड से एक विश्वसनीय उत्पाद तक के सफर को समझाएँगे। इसके लिए हमने बोल्ट.न्यू वाइब कोडिंग प्लेटफ़ॉर्म से बनाए गए एक वास्तविक प्रोजेक्ट पर स्क्राइब के एआई-एजेंटिक विश्लेषण और ऑटो-रेमेडिएशन वर्कफ़्लोज़ का परीक्षण करने के लिए एक प्रयोग किया था।

परियोजना का निर्माण

चुनौती सरल थी:
एक वेब अनुप्रयोग बनाएं जो वास्तविक समय में हार्डवेयर GPIO लाइनों की निगरानी करता है और गतिशील रूप से अद्यतन वेब पेज पर उनकी स्थिति प्रदर्शित करता है।

एक ही प्रॉम्प्ट के साथ, Bolt.new ने संपूर्ण प्रोजेक्ट तैयार कर दिया - एक Node.js प्रोजेक्ट जिसमें WebSocket सर्वर, एक React.js फ्रंट-एंड और यहां तक कि GitHub के लिए एक README.md फ़ाइल भी शामिल थी।

निर्माण प्रक्रिया में केवल तीन मिनट लगे, और हम कोड को स्थानीय लिनक्स वातावरण (WSL पर Ubuntu 22.04) में डाउनलोड करने, इंस्टॉल करने और चलाने में सक्षम हो गए। 

यह तुरंत काम करने लगा, जिससे हम हैरान रह गए। चल रहे ऐप का स्क्रीनशॉट यहाँ देखें:

पहली छापें

एक बार तैनात होने के बाद, हमने प्रोजेक्ट की संरचना की गहराई से जाँच की। ऐप में 20 सोर्स-कोड फ़ाइलें और 15 कॉन्फ़िगरेशन फ़ाइलें थीं। निर्भरताओं सहित, पूरी इंस्टॉलेशन में 10,000 से ज़्यादा फ़ाइलें थीं। इससे एक अहम सवाल उठा... यह AI-जनरेटेड कोड कितना सुरक्षित और विश्वसनीय है?

चरण 1: पारंपरिक उपकरण

हमारा पहला कदम स्क्राइब के क्लासिक इंस्ट्रूमेंटेशन को चलाना था, और बिल्ड प्रक्रिया से सुरक्षा प्रमाण एकत्रित करना था। इससे हमें ये परिणाम मिले:
– विस्तृत एसबीओएम (सॉफ्टवेयर बिल ऑफ मैटेरियल्स)
– भेद्यता रिपोर्ट (प्रत्यक्ष और सकर्मक निर्भरताएँ)
– SAST (स्थैतिक विश्लेषण) निष्कर्ष
– गुप्त स्कैनिंग परिणाम

भेद्यता रिपोर्ट

• महत्वपूर्ण कमजोरियां नहीं
• 6 उच्च-गंभीरता वाली कमजोरियाँ

एसएएसटी निष्कर्ष

•  3 उच्च-गंभीर निष्कर्ष
• 12 मध्यम-गंभीरता वाले निष्कर्ष

चरण 2: स्क्राइब एआई के साथ ऑटो-रिमेडिएशन

इसके बाद, हमने प्रोजेक्ट को GitHub पर अपलोड किया और इसका उपयोग किया Remus, स्क्राइब का एआई ऑटो-रिमेडिएशन एजेंटिक वर्कफ़्लो। Remus, वास्तव में, का एक नेटवर्क चार एआई एजेंट, स्वायत्त और सहयोगात्मक रूप से संचालित करने के लिए डिज़ाइन किया गया है। प्रत्येक एजेंट में विशिष्ट क्षमताएँ होती हैं, जो जटिल समस्याओं के समाधान के लिए वितरित दृष्टिकोण की अनुमति देती हैं। यह आर्किटेक्चर इस टूल को डेटा विश्लेषण और पैटर्न पहचान से लेकर निर्णय लेने और पूर्वानुमानित मॉडलिंग तक, कई तरह के कार्यों को संभालने में सक्षम बनाता है।
रनिंग Remus इससे पहले से पहचानी गई कमजोरियों और SAST मुद्दों के लिए लक्षित सुधारों के साथ एक पुल अनुरोध हुआ।

यहाँ एक कमिट का उदाहरण दिया गया है जो स्वचालित रूप से सुझाया गया है Remus किसी भेद्यता को ठीक करने के लिए: 

पीआर को मर्ज करने के बाद, हमने परियोजना को पुनः बनाया, पुष्टि की कि यह पहले की तरह काम कर रही है, और समस्याओं के लिए परियोजना को पुनः स्कैन किया।

परिणाम के बाद Remus उपचार

परिवर्तन नाटकीय था!
- भेद्यता स्कैन: केवल 1 मध्यम-गंभीर समस्या शेष रही

- SAST निष्कर्ष: एक मध्यम-गंभीरता आइटम को छोड़कर सभी ठीक कर दिए गए

स्क्राइब के एआई एजेंटिक रिमेडिएशन वर्कफ़्लो ने महत्वपूर्ण और उच्च-गंभीर मुद्दों को प्रभावी ढंग से हल किया, जिससे उत्पाद की कार्यक्षमता में बाधा डाले बिना, मैन्युअल हस्तक्षेप के लिए केवल मामूली समस्याएं ही बचीं।

चाबी छीन लेना

इस प्रयोग से पता चला कि:

1. हालाँकि एआई-जनरेटेड कोड शुरू में पूरी तरह कार्यात्मक लग सकता है, लेकिन इसकी आउट-ऑफ-द-बॉक्स कार्यक्षमता के साथ गंभीर सुरक्षा जोखिम और विश्वसनीयता संबंधी चिंताएँ जुड़ी होती हैं। ऐसे कोड का उपयोग करने वाली परियोजनाओं को ख़तरा पैदा करने वाले तत्वों से भारी जोखिम का सामना करना पड़ता है।
2. पाइपलाइन में सुरक्षा उपकरण आवश्यक हैं। स्क्राइब के GitHub प्लगइन ने उत्पन्न परियोजना में कई उच्च-प्रभाव वाली कमज़ोरियों का खुलासा किया।
3. स्क्राइब एआई-संचालित स्वचालित सुधारात्मक एजेंटिक वर्कफ़्लो शक्तिशाली है: इसने स्वचालित सुधारों के साथ परियोजना के जोखिम प्रोफाइल को नाटकीय रूप से कम कर दिया, जबकि परियोजना को पूरी तरह कार्यात्मक बना दिया।

निष्कर्ष

एआई-जनित परियोजनाओं और एआई-संचालित सुधार का संयोजन एक ऐसे भविष्य का संकेत देता है जहाँ सॉफ़्टवेयर का निर्माण और सुरक्षा पहले से कहीं अधिक तेज़ी से होगी। हालाँकि मानवीय निगरानी अभी भी महत्वपूर्ण है, लेकिन जैसे उपकरण स्क्राइबहब अपने एआई एजेंटिक ऐपसेक वर्कफ़्लोज़ के साथ यह साबित होता है कि स्वचालित कोड मरम्मत न केवल संभव है - बल्कि व्यावहारिक भी है।

संबंधित पोस्ट

क्या आप बिना नक्शे के युद्ध में जाएंगे?

आपकी सॉफ़्टवेयर सप्लाई चेन को सुरक्षित करना आपके 'सॉफ़्टवेयर फ़ैक्टरी' की खोज और शासन से शुरू होता है आज के सॉफ़्टवेयर डेवलपमेंट परिवेश में, टीमें कोड रिपॉजिटरी, बिल्ड पाइपलाइन और कंटेनर इमेज जैसी विकेंद्रीकृत संपत्तियों को संभालती हैं। जबकि यह वितरित मॉडल लचीलापन प्रदान करता है और उत्पादन को गति देता है, यह संपत्तियों को खंडित भी करता है और शासन और सुरक्षा निरीक्षण को जटिल बनाता है, खासकर जब […]

सॉफ़्टवेयर बिल ऑफ़ मैटेरियल्स के साथ कमज़ोरियों की पहचान करना: सुरक्षा, पारदर्शिता और अनुपालन सुनिश्चित करना

सॉफ़्टवेयर आपूर्ति श्रृंखलाओं की बढ़ती जटिलता के साथ, सॉफ़्टवेयर घटकों का प्रबंधन और सुरक्षा अधिक चुनौतीपूर्ण हो गई है। इससे निपटने के लिए, सॉफ़्टवेयर बिल ऑफ़ मटेरियल (SBOM) सॉफ़्टवेयर विकास जीवनचक्र में सुरक्षा, पारदर्शिता और अनुपालन सुनिश्चित करने के लिए एक महत्वपूर्ण उपकरण के रूप में उभरा है। SBOM, सॉफ़्टवेयर बनाने में उपयोग किए जाने वाले सभी घटकों का एक व्यापक रिकॉर्ड है […]

एएसपीएम क्या है?®

अनुप्रयोगों की बढ़ती जटिलता और सुरक्षा खतरों के प्रसार के साथ, सॉफ़्टवेयर अनुप्रयोगों की सुरक्षा सुनिश्चित करना संगठनों के लिए एक महत्वपूर्ण चुनौती बन गई है। एप्लिकेशन सिक्योरिटी पोस्चर मैनेजमेंट (एएसपीएम) इन चुनौतियों के समाधान के रूप में उभरता है, जो दृश्यता में सुधार, कमजोरियों को प्रबंधित करने और सॉफ्टवेयर विकास जीवनचक्र में सुरक्षा नियंत्रण लागू करने के लिए एक रूपरेखा प्रदान करता है। यह […]