Mitä he eivät kerro vibe-koodauksesta: • Moltbook paljasti 1,5 miljoonaa tunnistautumismerkkiä. Omistaja ei ollut kirjoittanut yhtäkään koodiriviä. • Tea App vuoti 72 000 hallituksen henkilöllisyystodistusta. Tietokanta oli vain auki, ei tarvittu monimutkaista hakkerointia. • Tutkija otti toimittajan tietokoneen hallintaansa omalla vibe-koodatulla pelillään ilman ainuttakaan klikkausta. Koodi toimi moitteettomasti kaikissa kolmessa tapauksessa, testit läpäistivät, arvostelut näyttivät puhtailta, eikä mikään herättänyt huolta. Se on ongelma, josta kukaan ei puhu. Tiimit lähetetään nopeammin kuin koskaan. Tekoäly kirjoittaa koodin. CI huomaa rakennusvirheet. Testit havaitsevat regressiot. Havaittavuus havaitsee katkot. Mutta kukaan ei kysy sitä yhtä kysymystä, jolla oikeasti on merkitystä: Mitä hyökkääjä voi tehdä tällä juuri nyt? Koska pullonkaula ei enää kirjoita koodia. Kyse on siitä, että ymmärrät, mitä tuo koodi oikeasti paljastaa, kun se on käynnissä. PR-katsaukset epäonnistuvat tunnistautumisen reunatapauksissa. Yksikkötestit eivät tutki rikkinäistä käyttövalvontaa. Staging-ympäristöt eivät simuloi vastakkainasettelua. Ja liiketoimintalogiikan puutteet näyttävät täysin hyviltä, kunnes joku päättää tahallaan rikkoa ne. Strix on avoimen lähdekoodin työkalu, joka täyttää tämän aukon. Se tarkistaa juoksevan sovelluksesi samalla tavalla kuin hyökkääjä: - Selaa sovellusta ja kartoittaa jokaisen näkyvän reitin ja kulun - Probit käyttävät reittejä dynaamisesti, eivät vain rakennusvaiheessa - Palauttaa löydökset käsitteiden todistuksen ja ehdotettujen korjausten kera Strixiä verrattiin 200 oikeaan yritykseen ja avoimen lähdekoodin repoon, jossa löydettiin 600+ vahvistettua haavoittuvuutta, mukaan lukien määrätyt CVE:t. ...