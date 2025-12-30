Tietoturva-asiantuntija: Vibe-koodatut AI-agentit uhkaavat turvallisuutta
Vibe-koodaus, jossa koodataan tekoälyn avulla "fiiliksen mukaan" ilman kunnollista suunnitelmaa, voi olla vaarallista tietoturvalle, varoittaa tietoturva-asiantuntija Jarmo Laakso. ""Kun dokumentaatiota ei ole, testataan vain että näyttää toimivan, ja turvallisuus lisätään jälkikäteen, jos ollenkaan."
Vibe-koodaus (vibe-coding) tai "fiiliskoodaus" tarkoittaa ohjelmointia syöttämällä toiveet koodausalustan tekoälylle, joka kehittää sovellusta pala kerrallaan annetun promptin perusteella. Käyttäjä kirjoittaa promptin ja AI kirjoittaa koodin, luo elementit ja kaiken teknisen kehittäjän puolesta. "Kuulostaa hyvältä, mutta asiaan liittyy vaaransa", Laakso sanoo.
"Perinteisessä ohjelmistokehityksessä projekti suunnitellaan huolellisesti, kirjoitetaan dokumentaatio, luodaan testit ja turvallisuus rakennetaan mukaan alusta alkaen", Laakso vertaa.
Laakso listaa miksi AI-agenteissa tämä on vaarallista.
"Perinteinen ohjelma tekee vain sen, mitä käsketään, mutta itsenäinen AI-agentti tekee itse päätöksiä ilman ihmisen hyväksyntää, toimii pitkiä aikoja itsenäisesti, oppii ja muuttaa käyttäytymistään, voi käyttää muita ohjelmia ja palveluita ja käsittelee arkaluonteista tietoa."
"Keskeisiä riskejä ovat väärinymmärretyt tavoitteet, mikä tarkoittaa, että yritys koodaa agentin esimerkiksi parantamaan asiakastyytyväisyyttä. Ilman tarkkoja rajoja se voi alkaa valehdella kyselyissä, poistaa negatiiviset arvostelut tai jakaa alennuksia kunnes yritys jopa menee konkurssiin."
Laakso varoittaa myös hallitsemattomasta toiminnasta, jossa agentti voi ilman "hätäjarrua" lähettää tuhansia sähköposteja tunnissa, kuluttaa kymmeniä tuhansia euroja pilvipalveluissa tai tehdä peruuttamattomia vahingollisia muutoksia tietokantoihin.
Laakson mukaan lisäksi ongelmana voivat olla turvallisuusaukot, joissa salasanat näkyvissä koodissa, mikä tarkoittaa, että kuka tahansa voi käskeä agenttia, henkilötiedot vuotavat ja järjestelmä voi olla kaapattavissa. Itseään vahvistavissa virheissä verkkokauppa-agentti havaitsee myynnin hiipuvan ja laskee hintoja koko ajan lisää sitä mukaa kun kilpailijat reagoivat. Lopulta tuotteet myydään tappiolla ja yritys voi ajautua konkurssiin, eikä agentti ei pysähdy koskaan pohtimaan toiminnan järkevyyttä.
"Kun AI tekee vahinkoa, kuka on vastuussa? Miksi se toimi niin? Miten estää uudelleen? Dokumentaation puuttuessa vastauksia ei ole", Laakso pohtii.
Mitä pitäisi tehdä?
Laakso neuvoo yksinkertaisesti toiminnan suunnittelemista ennen koodaamista. "Kirjoita testit, rakenna hätäjarru, lokita kaikki päätökset ja pyydä toinen tarkastamaan koodi" Laakso tiivistää.
Yritysten vastuulla on , että kehittäjillä on aikaa työhönsä, vaaditaan turvallisuustestaukset, seurataan agenttien toimintaa ja koulutetaan tiimit. Lainsäätäjien vastuulla on selkeiden sääntöjen laatiminen, sanktiot huolimattomuudesta ja pakollisen raportoinnin vaatiminen koskien vakavia virheitä.
Laakso viittaa teknologiatutkijoihin, jotka korostavat, että itsenäinen ei tarkoita valvomatonta. "AI-agentteja kehitettäessä tarvitaan enemmän kurinalaisuutta kuin koskaan aiemmin, ei vähemmän", Laakso painottaa.
Laakson mukaan vibe-koodaus voi toimia hyvin harrastusprojekteissa ja prototyypeissä, mutta kun rakennetaan itsenäisiä AI-agentteja, jotka käsittelevät rahaa, tietoja tai turvallisuutta, huolimattomuudelle ei ole varaa.
"Kysymys ei ole siitä, pitäisikö AI-agentteja kehittää, vaan siitä, miten se tehdään vastuullisesti ja turvallisesti. Nopeus ei saa mennä turvallisuuden edelle."
"Ongelma ei ole hypoteettinen. AI-agentteja otetaan käyttöön yrityksissä, verkkopalveluissa ja jopa kriittisissä infrastruktuureissa. Kysymys kuuluukin onko ne koodattu kunnolla vai vibellä", Laakso kuvaa.
Avainsanat
Yhteyshenkilöt
Jarmo LaaksoTietoturva-asiantuntijaPuh:040 5840588info@3nfocus.fi
Linkit
3NFocus
3NFocus "Integroi ideat toimivaksi kokonaisuudeksi". Se on hämeenlinnalainen IT- ja viestintäalan yritys, joka tarjoaa tietoturvapalveluja ja digitaalisia kokonaisratkaisuja. Yritys erottuu kilpailijoistaan yhdistämällä teknisen IT-osaamisen, kuten tietoturvan ja tekoälyn, vahvaan viestinnälliseen kokemukseen.
3NFocus toimii "yhden luukun" periaatteella tarjoten palveluita, jotka usein joudutaan hankkimaan eri toimistoilta, kuten tietoturva ja tietosuoja, verkkosivut ja sovellukset, tekoälyratkaisut, hakukoneoptimointi (SEO) sekä viestintä ja brändäys.
