نئی تاریخ

کیا آپ کا AI سے تیار کردہ کوڈ واقعی محفوظ ہے؟

کی طرف سے Daniel7m2025/03/19

بہت لمبا؛ پڑھنے کے لئے

AI سے تیار کردہ کوڈ سرفہرست 10 خطرات کی سب سے بڑی وجہ ہے اور تقریباً 40% کوڈ میں حفاظتی کیڑے ہیں۔ AI ماڈلز کو انٹرنیٹ پر دستیاب ہر معلومات کے بارے میں تربیت دی جاتی ہے۔ کوڈ کا معیار، وشوسنییتا، سیکورٹی، اور بہت کچھ اس سے مختلف ہوسکتا ہے جو انسانی ڈویلپرز کے ذریعہ تیار کیا جاتا ہے۔

featured image - کیا آپ کا AI سے تیار کردہ کوڈ واقعی محفوظ ہے؟

سافٹ ویئر ڈویلپمنٹ اور پروگرامنگ، جو کبھی ایسی کوششوں کے طور پر سمجھی جاتی تھی جس میں گہری مہارت کی ضرورت ہوتی تھی، اب کوئی بھی قدرتی زبان استعمال کر سکتا ہے۔ ایک خصوصیت جس کو تیار ہونے میں دن یا مہینے لگتے تھے اب AI ماڈل کے کوڈ کی بدولت منٹوں یا گھنٹوں میں تیار کیا جا سکتا ہے۔ مثال کے طور پر، OpenAI Codex اور Google BERT کو پروگرامنگ ویب بلاگز، اسٹیک اوور فلو سوالات وغیرہ پر تربیت دی جاتی ہے۔

یہ ذہین ماڈل ریاضی کے امکانات کے ذریعے کوڈ بناتے ہیں جبکہ وہ غلط معلومات کو فریب دینے اور پیش کرنے کے لیے بھی جانے جاتے ہیں۔ اکیڈمیا کی طرف سے کی گئی ایک تحقیق میں دعویٰ کیا گیا ہے کہ AI کوڈ جنریشن سرفہرست 10 کمزوریوں کی سب سے بڑی وجہ ہے اور تقریباً 40% کوڈ میں حفاظتی کیڑے ہوتے ہیں ۔ بہت سے سرکردہ کھلاڑی، نئے SaaS فراہم کنندگان کے ساتھ اپنی پیشکشوں کو بہتر بنانے کے لیے AI کا فائدہ اٹھا رہے ہیں۔ SaaS پروگرامرز کو بھی AI پر مبنی SaaS ٹولز کے بارے میں زیادہ علم ہونا چاہیے۔

کیا AI سے تیار کردہ کوڈ کو غیر محفوظ بناتا ہے؟

پروگرامنگ کے معیارات اور کوڈ کے معیار پر عمل کرنا سافٹ ویئر کی حفاظت کا حکم دیتا ہے۔ لیکن، AI ماڈلز کو انٹرنیٹ پر دستیاب ہر معلومات پر تربیت دی جاتی ہے۔ کوڈ کا معیار، وشوسنییتا، سیکورٹی، اور بہت کچھ اس سے مختلف ہوسکتا ہے جو انسانی ڈویلپرز کے ذریعہ تیار کیا جاتا ہے۔ مثال کے طور پر، ویب ڈویلپمنٹ کی مثالوں پر تربیت یافتہ ماڈل میں ڈیٹا کی توثیق کے ناقص طریقے شامل ہو سکتے ہیں۔ توثیق کی یہ کمی سیکیورٹی کے مسائل کا باعث بن سکتی ہے جب ماڈل کوڈ تیار کرتا ہے جو انہی خراب طریقوں کو اپناتا ہے۔

5 اشارے جو تجویز کرتے ہیں کہ کوڈ سیکیورٹی کی کمزوریوں پر مشتمل ہے۔

اس بات سے کوئی فرق نہیں پڑتا ہے کہ سائز (ملین یا ارب پیرامیٹرز) ماڈلز کو فریب دینے اور غلط پیشین گوئیاں کرنے کے لیے جانا جاتا ہے۔ جب ایک عام ڈویلپر اس کوڈ کو دیکھتا ہے جو ایک AI تیار کرتا ہے، تو وہ ٹھیک ٹھیک لیکن سنگین حفاظتی خطرات سے محروم ہو جائیں گے۔ تاہم، ایک ایسے ڈویلپر کے لیے جو ڈیزائن اور ڈیولپمنٹ کے نمونوں کا مکمل علم رکھتا ہے، خامیوں کی نشاندہی سے دور ایک جائزہ ہے۔ ڈویلپرز کمزوریوں کو دریافت کرنے اور SaaS سیکیورٹی کے بہترین طریقوں سے ہم آہنگ ہونے کے لیے ان نمونوں کا فائدہ اٹھا سکتے ہیں۔

1. قسم کا اندازہ اور ان پٹ کی توثیق نافذ نہیں کی جاتی ہے۔

جدید فریم ورک اور لائبریریاں زیادہ تر انحصار اور توثیق کے لیے انٹرفیس/enum پر کرتی ہیں۔ یہ اس بات کی ضمانت دیتا ہے کہ کوڈ اپنا کام درست طریقے سے کرتا ہے اور سیکیورٹی نافذ کرتا ہے۔ AI سے تیار کردہ کوڈ اس وقت تک اندازہ نہیں لگائے گا جب تک کہ ہم اسے ہدایت نہ کریں۔ یہاں تک کہ ایک محتاط اشارہ تیار کرنے کے بعد بھی، ٹائپ کی مماثلت اور توثیق کا نفاذ استعمال کے معاملے سے مماثل نہیں ہوسکتا ہے۔ کوڈ کی مماثلتوں کو تلاش کرنے اور اس میں ترمیم کرنے کے لیے، ڈویلپرز کو ڈومین اور کاروباری ضروریات سے بخوبی آگاہ ہونا چاہیے۔

 def reciprocal(user_input): # Insecure implementation with no type inference or validation result = 100 / user_input return result

2. کلاسز/آبجیکٹ کے درمیان غیر معیاری ریاست اور سیاق و سباق کا اشتراک

پروگرام عوامی/نجی/محفوظ طریقوں سے اشیاء کا اشتراک کرتے ہیں۔ اعلیٰ ترتیب کے فنکشنز اور کلاسز شماریات کو انجام دینے کے لیے براہ راست عوامی/محفوظ متغیرات تک رسائی حاصل کر کے آبجیکٹ سٹیٹ کے وارث ہوتے ہیں۔ اگر عمل درآمد یا عملدرآمد میں کچھ غلط طریقے سے کیا جاتا ہے تو، سیکورٹی یا کارکردگی کی رکاوٹیں آسانی سے ہوسکتی ہیں. SaaS ڈویلپرز کو اپنی ریاست اور سیاق و سباق کے انتظام کی منطق کو مناسب طریقے سے نافذ کرنا چاہیے اور درست اور محفوظ استعمال کے لیے اس کا جائزہ لینا چاہیے۔

 class InsecureClass: def __init__(self, owner, balance, password): self.owner = owner # Public attribute self._balance = balance # Protected attribute self.__password = password # Private attribute # Public def def get_balance(self): return self._balance # Protected def def _update_balance(self, amount): self._balance += amount # Private def def __validate_password(self, input_password): return self.__password == input_password # Insecure def exposing private data def insecure_password_exposure(self): return self.__password

3. ڈیٹا ہینڈلنگ اور شیئرنگ تکنیک کا کمزور نفاذ

خدمات نیٹ ورک پر معلومات کا اشتراک اور وصول کرتی ہیں۔ ان دنوں، کلاؤڈ بیسڈ سسٹمز کی کامیابی کے لیے محفوظ کنیکٹوٹی اور ڈیٹا ہینڈلنگ بہت اہم رہی ہے۔ تقسیم شدہ ڈیٹا نیٹ ورکس کے ذریعے تنظیموں پر حساس ڈیٹا کو پڑھتے، پروسیسنگ اور شیئر کرتے وقت، ڈیٹا کو روکنے کے لیے مضبوط پروٹوکول اور حفاظتی تکنیک کا ہونا ضروری ہے۔ AI کا استعمال کرتے ہوئے، SaaS ڈویلپر کو فن تعمیر کے ہر ایک پہلو کو مکمل ایپلی کیشنز میں لاگو کرنا ہوتا ہے۔

 #Insecure Data Sharing @app.route("/user/<int:user_id>", methods=["GET"]) def get_user(user_id): user = users.get(user_id) if user: return jsonify(user) # All user data exposed, including secrets # Insecure Data Handling @app.route("/update_email", methods=["POST"]) def update_email(): data = request.json() user_id = data.get("user_id") new_email = data.get("new_email") if user_id in users: users[user_id]["email"] = new_email # No validation of new_email return jsonify({"message": "Email updated successfully"})

4. ناکافی راز اور تصنیف ہینڈلنگ

آج کی سائبر حساس دنیا میں، تنگ آر بی اے سی کا نفاذ رازداری اور تعمیل کو برقرار رکھتے ہوئے شناخت کو محفوظ بنانے کے لیے رسائی کے کنٹرول کے لیے ضروری ہے۔ جب کوڈ LLM کے ذریعے تیار کیا جاتا ہے، تو پہلے سے طے شدہ طور پر ایک ایسا طریقہ کار ہوگا جو بنیادی نفاذ کے ساتھ تصدیق فراہم کنندہ کے ساتھ مربوط اور تصدیق کرتا ہے۔ ابھرتے ہوئے سائبر خطرات سے محفوظ رہنے کے لیے آسان حل کافی نہیں ہیں۔ اپنی مرضی کے مطابق فنکشنلٹیز کو شامل کرتے وقت ڈیولپرز کو سیکیورٹی اور تصنیف ہینڈلنگ کو مضبوطی سے لاگو کرنے کو یقینی بنانے کے لیے اچھی طرح جانچ کرنی چاہیے۔

 # Insecure authentication @app.route("/login", methods=["POST"]) def login(): data = request.json() email = data.get("email") password = data.get("password") for user_id, user in users.items(): if user["email"] == email and user["password"] == password: return jsonify({"message": "Login successful", "user_id": user_id})

5. فرسودہ فعالیت کے استعمال کے ساتھ فرسودہ انحصار

AI پروگرامنگ لائبریریوں اور کمیونٹی اور اوپن سورس کے ذریعہ بنائے گئے فریم ورک کے ذریعہ ہدایت کی جارہی ہے۔ لوگ ان امید افزا ٹولز کا استعمال کرکے اور نئے تخلیق کرکے نئی ٹیکنالوجی کی حمایت کرتے ہیں۔ ان ماڈلز کو جس ڈیٹا پر تربیت دی گئی تھی وہ تازہ ترین نہیں ہے اور ماڈل کی صلاحیتیں منجمد ہیں، اور اسی طرح ان کا علم بھی ہے۔ ٹیکنالوجی کی ترقی کے ساتھ، بہت ساری خصوصیات متروک ہو جائیں گی اور کچھ لائبریریاں موجودہ ضروریات سے متعلق نہیں ہوں گی۔ ایک SaaS ڈویلپر کو فعالیت اور سلامتی کو یقینی بنانے کے لیے جائز انحصار کے جائزے اور استعمال کا کام سونپا جاتا ہے۔

 import md5 # Outdated library def insecure_hash_password(password): # Insecure password hashing done using the deprecated MD5 algorithm. return md5.new(password).hexdigest()

AI سے تیار کردہ کوڈ کو استعمال میں محفوظ بنانے کے لیے تجاویز

بڑی زبان کے ماڈلز کی اعلی درجے کی کوڈنگ کی صلاحیتیں ان کے وسیع ریاضیاتی حسابات کی وجہ سے ہیں۔ اسے سیکیورٹی اور پروگرامنگ کے معیارات کے مطابق بنانے کے لیے کسی فینسی تکنیک کی ضرورت نہیں ہے۔ ہم AI سے تیار کردہ کوڈ کو محفوظ اور معیارات کے مطابق بنانے کے لیے یہ آسان چیک استعمال کر سکتے ہیں:

سیکیورٹی اور آرکیٹیکچر ٹیموں کے ساتھ کوڈ کا جائزہ آپ کے لائف سائیکل کا ایک معیاری حصہ ہونا چاہیے۔
ورژن کنٹرول ٹولز میں خودکار سیکیورٹی ٹیسٹنگ اور توثیق کے مراحل کو مربوط کریں۔
KPIs کی جانچ میں انحصار اور تعمیل کی جانچ شامل کریں۔
جامد اور متحرک سیکیورٹی ٹیسٹنگ ٹولز کے ساتھ زیرو ٹرسٹ فن تعمیر کو اپنائیں
DevSecOps پریکٹسز اور شیڈو AI کا فائدہ اٹھائیں۔

ایک سادہ گیتھب ایکشن کے ساتھ غیر محفوظ AI سے تیار کردہ کوڈ کو ہینڈل کرنا

اس سے کوئی فرق نہیں پڑتا ہے کہ ہم کوڈ کا کتنی ہی احتیاط سے جائزہ لیں اور آڈٹ کریں، انسانی غلطی کے امکانات ہمیشہ موجود رہتے ہیں۔ صرف دستی آڈٹ پر انحصار کرنا کافی نہیں ہے کیونکہ ہمیں کچھ پہلے سے طے شدہ جانچ پڑتال کی ضرورت ہے جو ورژن کنٹرول سسٹم میں داخل ہوتے ہی کوڈ کی جانچ اور تصدیق کر سکیں۔ گیتھب ایکشن شامل کرنے سے بہتر اور کیا چیک ہوگا جو پی آر اٹھائے جانے پر خود بخود سیکیورٹی اور کوالٹی چیک چلاتا ہے۔

 name: Simple Security Checks for AI generated Code on: push: branches: - main pull_request: branches: - main jobs: security-and-quality-check: runs-on: ubuntu-latest Steps: - name: Repository checkout uses: actions/checkout@v3 - name: Python setup uses: actions/setup-python@v4 with: python-version: ">=3.9" - name: Dependency installation run: | python -m pip install --upgrade pip pip install bandit pytest - name: Identifying insecure libraries and patterns run: | echo "Checking for insecure patterns..." if grep -r "md5.new(" .; then echo "ERROR: Insecure MD5 hashing detected. Use hashlib.sha256 or bcrypt instead." exit 1 fi echo "No insecure patterns detected." - name: Scanning for security vulnerabilities run: | echo "Running Bandit security scanner..." bandit -r . - name: Running unit tests run: | echo "Running unit tests..." pytest test/unit --cmodopt=local - name: Notifying on failure if: failure() run: | send_slack_notification(“Unsafe code merge detected, fix immediately”)

نتیجہ

بڑے زبان کے ماڈل SaaS ڈویلپرز کے لیے قدرتی اشارے کے ساتھ کوڈ اور معلومات تیار کرنے کے لیے کافی مفید ٹولز ہیں۔ تاہم، وہ حفاظتی خطرات کا باعث بنتے ہیں اور بعض اوقات غیر کارکرد کوڈ فراہم کرتے ہیں جو انٹرپرائز کی ضروریات کے مطابق نہیں ہوتا ہے۔ SaaS ڈویلپرز کو ان ٹولز کا استعمال کرتے وقت اور حقیقی زندگی کے استعمال کے معاملات کے لیے AI سے تیار کردہ کوڈ کو لاگو کرتے وقت بہت محتاط رہنا چاہیے۔ یہ عملی گائیڈ ان عوامل پر توجہ مرکوز کرتا ہے جو پیدا ہوتے ہیں اور ان چیلنجوں پر قابو پانے کے طریقے بتاتے ہوئے حفاظتی انداز کو متاثر کرتے ہیں۔