Vibe Coding: KI erstatter ikke utvikleren likevel

English version:

Is Vibe Coding a Security Risk? The Hidden Costs

Over 5,000 vibe-coded apps are leaking sensitive data right now. The tools that promised to democratise software may be quietly breaking it. Who picks up the bill?

KludderSebastian Parry-Jones Øyrehagen

Kunstig intelligens har gjort det enklere for alle å skrive kode, selv for oss som ikke kan koding. Fenomenet har fått begrepet vibe coding - selv om noen helst ser at vi kaller det noe annet. 

Anthropic, som har satt i gang prosessen for en børsnotering, har Claude Code. OpenAI har Codex. Samtidig finnes det et bredt utvalg av andre verktøy som du kan bruke: Cursor, Lovable, Replit og Netlify. Men også i Norge finnes det selskap som skal gjøre det enklere og bedre å vibbekode. Riff er et spennende selskap i Oslo som skal gjøre enklere for bedrifter å bygge KI-applikasjoner og agenter. Jeg har fulgt med på dem en stund, fra tiden der de het Databutton - det er jo kult at vi kan få sånne selskap i Norge også!

Men der vibe coding har åpnet døren for at vi alle kan lage en app, en nettside eller en kode å bruke på egen nettside (som min lille widget du ser nederst til venstre nå), er personvernsluket på vidt gap.

Bli bedre kjent med vibecoding her.

En haug av data på avveie

Selskapet RedAccess har gjennomgått og analysert flere tusen vibekodede apper og nettsider. Over 5000 sider hadde hverken sikkerhetsmekanismer eller måter å autentisere brukere på. RedAccess kikket på kode skrevet gjennom plattformene jeg nevnte tidligere.

Dette er en av de aller største hendelsene hvor mennesker eksponerer sensitiv virksomhetsinformasjon til hvem som helst i verden - Dor Zvi, grunnlegger og sikkerhetsanalytiker i RedAccess til WIRED. 

Thousands of Vibe-Coded Apps Expose Corporate and Personal Data on the Open Web

Companies like Lovable, Base44, Replit, and Netlify use AI to let anyone build a web app in seconds—and in thousands of cases, spill highly sensitive data onto the public internet.

WIREDAndy Greenberg

Samtidig har Wall Street Journal intervjuet to av hodene bak OpenClaw - KI-agenten som tok verden med storm tidligere i år. Mario Zechner og Armin Ronacher mener at kunstig intelligens - som i flere tilfeller allerede erstatter programvareutvikleren - nå oversvømmer internettet med svak og potensielt skadelig kode.

Infrastruktur kollapser, og vi ser programvare som er veldig, veldig svak sammenlignet med tidligere - Zechner til Wall Street Journal. 

Det er interessant å høre dette fra to av gutta som selv har vært helt lengst fremme i utviklingen av KI-agenter. Det at de ser med bekymring på hvordan oppstarts-, vekst- og etablerte selskaper opparbeider seg teknisk gjeld og blottlegger sikkerhetshull, burde være en advarsel til mange.

Fikk ikke svar

Da RedAccess tok kontakt med selskapene og la frem funnene, var det ikke like lett å få svar. Og det er jo litt ironisk; når selskapene selv hevder at plattformene deres kan bygge og skalere opp virksomheter i en fei. Samtidig var tjuefire timer for liten tid på å gjennomgå resultatene fra RedAccess og komme med et svar. 

På X uffet Amjad Masad seg over den korte fristen. Han er CEO i Replit. I kommentarfeltet var Anton Osika enig. Han grunnla og er CEO i Lovable:

Selv har jeg en del erfaring med å måtte svare på pressehenvendelser; å få tjuefire timer på seg er ikke unormalt.

I forbindelse med Google I/O, der Google lanserer nye produkt og deler sine planer for fremtiden, skrev Google-sjef Sundar Pichai en kort tekst om Google sine agentive KI-modeller. 75 prosent av all ny kode er KI-generert. Deretter blir det godkjent av et menneske før det rulles ut.

Bedre på ny kode

I følge Mario Zechner er kunstig intelligens bedre på å skrive ny kode, enn å gjennomgå og forbedre det som allerede ligger der. Og det er nettopp dette som skaper hodebry for selskap i startfasen. På den ene siden kan små selskap raskt lansere nye produkt og tjenester. Men etterhvert som selskapet vokser og tjenestene blir mer komplekse, begynner KI-agentene å slite med koden som blir desto mer omfattende.

Tidligere i vår fikk programvareselskap en ordentlig kalddusj på børsen. Software-as-a-Service-selskap (Saas) virket å miste fortrinnet sitt i møtet med Anthropic og OpenAI, som rullet ut ny programvare nesten daglig. Men så har det snudd, og Saaspokalypsen kom ikke. Faktisk har fondet iShares expanded tech software etf - et fond bestående av programvareselskap - steget med 13 prosent på en uke. Og siden 10. april har den steget med 40 prosent.

The SaaSpocalypse is over as software stocks stage a huge AI rebound

A torrid rally off multiyear lows has shown that investors are ready to view AI as additive for software stocks.

Business InsiderJoe Ciolli

Bytter ikke ut programvaren

Sånn, da var det slutt på børsprat. Men det understreker et viktig poeng som Zechner og Ronacher kommer med. Kunstig intelligens kan ikke utkonkurrere store, solide programvareselskap enda. I mars, da denne Saaspokalypsen stod på som verst, snakket teknologidirektør i FedEx, Vishal Talwar, med Wall Street Journal.

Han kunne fortelle at de ikke var interesserte i å kvitte seg med programvareleverandørene. I stedet fant WSJ et mønster: Flere store selskap brukte kunstig intelligens til å bygge egne apper, eller små tilpasninger.

Det gir jo mening. Selskap som Workday og Salesforce krever mye vedlikehold. Om et selskap lager sin egen HR-plattform, vil innsparingen ved å kvitte seg med Workday bli spist opp – og mer til – av vedlikeholdsbehovet. Informasjonsdirektør i revisjonsselskapet Gran Thornton sier det slik:

Jeg vil heller bruke pengene våre på å bygge noe som er virkelig nyskapende og som bidrar til vekst [enn å bruke penger på å bygge konkurrerende verktøy]. - Mike Kemp til WSJ.

Kalddusjen kommer

Å bruke kunstig intelligens til å kode, kan bli et kjempebra verktøy. Det lar meg vise, fremfor å forklare, hvilken funksjon eller tilpasning jeg kunne ønsket meg i mitt daglige arbeid. Ikke minst er det gøy; at ting skapes på skjermen foran deg, riktignok i et språk du absolutt ikke forstår.

Men jeg tror den sure svie kan treffe en god del selskaper som nå skal inn i en aggressiv vekstfase. Nyutdannede programvareutviklere får seg ikke jobb. Troen på at KI kan gjøre jobben raskere, billigere og bedre har fått satt seg i markedet. 

Når jobbmulighetene ikke er der, kommer kompetansen til å tørke ut. Ingen vil utdanne seg til utvikler når det ikke er mulig å bli ansatt. Dermed hoper problemene seg opp: Kode som tidligere funket, har ikke lenger robustheten som kreves. Sikkerhetshull blottlegger virksomhetsdata, og etterhvert finnes det ikke nok folk som kan faget. 

Et selskap med stor teknisk gjeld blir tregt og jobber seg gjennom sirup. Kunder tør ikke knytte seg til virksomheter som opplever store datalekkasjer. Da er det bare en ting å gjøre:

Hyre inn et menneske. Det kan bli en dyr og langvarig ryddejobb.