În perioada 4 și 5 iunie 2026, CyberShield® a susținut un workshop dedicat unei categorii noi de creatori de software: vibe coderii. Termenul (de la „vibe coding“) descrie oamenii care construiesc aplicații descriind în limbaj natural ce își doresc, iar inteligența artificială scrie codul în locul lor. Cu instrumente precum Lovable, Bolt.new, Cursor sau Codex, o idee poate deveni un prototip funcțional în câteva ore, fără ca autorul să fi scris manual vreo linie de cod. Cele două zile de curs au fost susținute de Cristian Iosub, expert în securitate cibernetică, și Andrea Gligor, formator autorizat și Senior Database Engineer.
Diferența față de programatorul clasic
Un programator clasic înțelege limbajul în care lucrează, poate citi codul, îl poate depana de la zero și învață securitatea ca parte din meserie. Vibe coderul lucrează altfel: el formulează intenția, iar modelul livrează rezultatul. Avantajul este uriaș la viteză și la accesibilitate. Problema apare când ceva nu merge: în cele mai multe cazuri, vibe coderul are aproape zero cunoștințe despre limbajul în care e scrisă aplicația și, la fel de des, zero cunoștințe de securitate cibernetică. Practic, dacă rămâne fără abonamentul la instrumentul AI, rămâne și fără capacitatea de a-și repara propria aplicație. Dependența de un singur furnizor devine, ea însăși, un risc.
De ce contează
O aplicație generată rapid ajunge des în producție: o folosește autorul, organizația lui sau, mai grav, clienții lui. Iar codul livrat de AI arată bine, dar nu este automat și sigur. Am arătat, pe exemple reale, chei API expuse direct în codul trimis către browser, baze de date lăsate complet deschise, formulare fără nicio validare și aplicații care au încredere oarbă în tot ce trimite utilizatorul. Nimic din toate acestea nu este vizibil dacă nu știi ce să cauți, tocmai pentru că nu tu ai scris codul.
Teme abordate în workshop
Am construit programul în jurul ideii că viteza nu trebuie sacrificată, dar trebuie însoțită de câteva reflexe tehnice minime.
▣ Gestionarea secretelor: de ce cheile API și parolele nu au ce căuta în codul din browser și cum le ții în variabile de mediu, nu publicate pe GitHub.
▣ Autentificare și autorizare: diferența dintre „cine ești” și „ce ai voie să faci”, plus capcana clasică a aplicațiilor făcute cu AI, regulile de acces la baza de date lăsate dezactivate (de exemplu Row Level Security în Supabase).
▣ Validarea datelor: de ce backendul nu trebuie să aibă încredere în nimic din ce vine de la client și cum previi injecțiile SQL și atacurile XSS.
▣ Dependențe și supply chain: pachetele pe care AI le adaugă singur pot fi vechi sau vulnerabile și cum le verifici.
▣ Date personale și GDPR: ce colectezi, unde stochezi și cum protejezi datele utilizatorilor.
▣ Igiena de lansare: HTTPS, dezactivarea modului de debug și eliminarea zonelor de administrare expuse public.
▣ Cum folosești tot AI-ul ca să-ți auditezi aplicația, dar verificând rezultatul, nu acceptându-l orbește.
Vibe codingul nu este un dușman, ci un instrument extraordinar de prototipare, care deschide programarea către oameni care altfel nu ar fi ajuns niciodată să construiască software. Mesajul nostru nu a fost „nu folosiți AI”, ci „înțelegeți măcar atât cât să nu publicați o vulnerabilitate“. Un minim de cunoștințe tehnice, un checklist de securitate aplicat înainte de lansare și obiceiul de a verifica, nu doar de a genera, fac diferența între un prototip util și o breșă cu numele tău pe ea.
La CyberShield credem că securitatea trebuie să țină pasul cu modul în care se construiește software astăzi. Dacă faci parte dintr-o echipă, un ONG sau o firmă care dezvoltă aplicații cu ajutorul AI și vrei o sesiune similară pentru colegii tăi, ne poți contacta aici.