ब्लॉग पर वापस
Security
7 मिनट

AI कोडिंग असिस्टेंट असुरक्षित कोड लिख रहे हैं: डेवलपर्स को क्या जानना चाहिए

GitHub Copilot और Cursor AI सुरक्षा कमजोरियाँ पैदा कर सकते हैं। 2026 में AI-जनित कोड से 74 CVE और अपने कोडबेस की सुरक्षा के बारे में जानें।

LOCK.PUB

AI कोडिंग असिस्टेंट असुरक्षित कोड लिख रहे हैं: डेवलपर्स को क्या जानना चाहिए

मार्च 2026 तक, शोधकर्ताओं ने AI-जनित कोड से सीधे जुड़े 74 CVE (Common Vulnerabilities and Exposures) की पहचान की है। उनमें से 35 अकेले मार्च में खोजे गए। विवरण: Claude Code ने 27 CVE योगदान किए, GitHub Copilot 4, और Devin 2।

यह काल्पनिक जोखिम नहीं है। ये उत्पादन प्रणालियों में वास्तविक कमजोरियाँ हैं, जो AI कोडिंग असिस्टेंट द्वारा बनाई गई हैं जिन पर डेवलपर्स ने सुरक्षित कोड लिखने के लिए भरोसा किया।

The Register का मार्च 2026 का शीर्षक स्पष्ट था: "AI के साथ कोडिंग का मतलब यह नहीं कि आपका कोड अधिक सुरक्षित है।" Stanford अध्ययन ने पुष्टि की कि AI असिस्टेंट का उपयोग करने वाले डेवलपर्स वास्तव में AI मदद के बिना कोड करने वालों की तुलना में अधिक सुरक्षा कमजोरियाँ पेश करते हैं।

"Vibe Coding" का उदय

सॉफ्टवेयर विकास में एक नया शब्द है: "vibe coding।" यह उन डेवलपर्स का वर्णन करता है जो न्यूनतम समीक्षा के साथ AI-जनित कोड स्वीकार करते हैं — सावधानीपूर्वक विश्लेषण करने के बजाय कोड "सही लगता है" के आधार पर "स्वीकार" पर क्लिक करते हैं।

समस्या? सुरक्षा कमजोरियाँ हमेशा "गलत नहीं लगतीं"। SQL इंजेक्शन कमजोरी सामान्य डेटाबेस कोड जैसी दिखती है। असुरक्षित डिसेरियलाइजेशन मानक ऑब्जेक्ट हैंडलिंग जैसा दिखता है। क्रॉस-साइट स्क्रिप्टिंग प्रतीत होता है निर्दोष स्ट्रिंग मैनिपुलेशन में छिप सकती है।

जब डेवलपर्स प्रति दिन सैकड़ों AI सुझाव स्वीकार करते हैं, तो गहन समीक्षा असंभव हो जाती है। कोड शिप होता है, कमजोरियाँ उसके साथ शिप होती हैं।

AI कोड असिस्टेंट के वास्तविक सुरक्षा जोखिम

1. कमजोर कोड पैटर्न

AI कोड असिस्टेंट सार्वजनिक रिपॉजिटरी पर प्रशिक्षित होते हैं — असुरक्षित कोड से भरे रिपो सहित। वे सामान्य पैटर्न सीखते हैं, जरूरी नहीं कि सुरक्षित पैटर्न।

AI द्वारा पेश की जाने वाली सामान्य कमजोरियाँ:

कमजोरी AI कैसे पेश करता है
SQL इंजेक्शन पैरामीटराइज्ड क्वेरी के बजाय स्ट्रिंग कॉन्कैटिनेशन सुझाता है
XSS यूजर इनपुट को सैनिटाइज न करने वाला कोड जेनरेट करता है
Path Traversal उचित वैलिडेशन के बिना फाइल ऑपरेशन बनाता है
असुरक्षित डिसेरियलाइजेशन अविश्वसनीय डेटा को डिसेरियलाइज करने का सुझाव देता है
हार्डकोडेड सीक्रेट्स कभी-कभी प्लेसहोल्डर क्रेडेंशियल्स शामिल करता है जो असली लगते हैं
कमजोर क्रिप्टोग्राफी पुराने एल्गोरिदम का उपयोग करता है (MD5, SHA1)

2. आपका कोड ट्रेनिंग डेटा बन जाता है

अधिकांश AI कोडिंग असिस्टेंट के मुफ्त टियर पर, आपका कोड भविष्य के मॉडल को प्रशिक्षित करने के लिए उपयोग किया जा सकता है:

  • GitHub Copilot Free/Individual: कोड स्निपेट मॉडल सुधार के लिए उपयोग किए जाते हैं (जब तक आप ऑप्ट आउट नहीं करते)
  • Cursor AI Free: समान डेटा संग्रह नीतियाँ
  • Claude Free Tier: बातचीत ट्रेनिंग के लिए उपयोग की जा सकती हैं

इसका मतलब:

  • आपके प्रोप्राइटरी एल्गोरिदम प्रतिस्पर्धियों के लिए कोड सुझावों को प्रभावित कर सकते हैं
  • संवेदनशील बिजनेस लॉजिक अन्य डेवलपर्स के सुझावों में दिखाई दे सकती है
  • कोड में एम्बेडेड व्यापार रहस्य सैद्धांतिक रूप से निकाले जा सकते हैं

एंटरप्राइज टियर आमतौर पर डेटा सुरक्षा समझौते प्रदान करते हैं, लेकिन कई डेवलपर्स प्रभावों को समझे बिना मुफ्त टियर का उपयोग करते हैं।

3. क्रेडेंशियल एक्सपोजर

AI कोड असिस्टेंट का उपयोग करते समय, आप अक्सर संदर्भ साझा करते हैं जिसमें शामिल हैं:

  • एनवायरनमेंट वेरिएबल्स (कभी-कभी API कुंजियाँ युक्त)
  • कॉन्फ़िगरेशन फाइलें
  • डेटाबेस कनेक्शन स्ट्रिंग्स
  • आंतरिक API एंडपॉइंट्स

भले ही आप सीधे क्रेडेंशियल्स पेस्ट न करें, AI असिस्टेंट संदर्भ से अनुमान लगा सकते हैं या कोड पैटर्न सुझा सकते हैं जो उन्हें उजागर करते हैं।

कमजोरी का उदाहरण:

# AI यह पैटर्न सुझा सकता है:
import os
api_key = os.getenv("API_KEY")
print(f"Using key: {api_key}")  # सीक्रेट लॉग करता है!

4. सप्लाई चेन जोखिम

AI कोड असिस्टेंट सुझा सकते हैं:

  • ज्ञात कमजोरियों वाले पुराने पैकेज
  • टाइपोस्क्वाटिंग पैकेज नाम (समान नामों वाले दुर्भावनापूर्ण पैकेज)
  • डिपेंडेंसी जो आप जोड़ना नहीं चाहते थे
  • असुरक्षित ट्रांजिटिव डिपेंडेंसी लाने वाले पैकेज

"Python में JSON कैसे पार्स करें?" पूछने वाला डेवलपर बिल्ट-इन json मॉड्यूल का उपयोग करने के बजाय एक रैंडम पैकेज इंस्टॉल करने का सुझाव प्राप्त कर सकता है।

5. शुक्रवार दोपहर की समस्या

Gartner ने 2026 में यह सुझाव देकर हलचल मचा दी कि कंपनियों को "शुक्रवार दोपहर को Copilot पर प्रतिबंध" लगाना चाहिए। तर्क: सप्ताह के अंत में थके हुए डेवलपर्स उचित समीक्षा के बिना AI सुझाव स्वीकार करने की अधिक संभावना रखते हैं।

यह एक व्यापक समस्या को उजागर करता है: AI असिस्टेंट सबसे खतरनाक होते हैं जब डेवलपर्स:

  • थके हुए हों
  • डेडलाइन दबाव में हों
  • अपरिचित कोडबेस में काम कर रहे हों
  • मल्टीटास्किंग कर रहे हों

बिल्कुल वही समय जब डेवलपर्स सबसे अधिक AI मदद लेते हैं।

हालिया शोध और खोजें

Georgia Tech अध्ययन (मार्च 2026)

अब तक का सबसे व्यापक अध्ययन जिसने विशेष रूप से AI-जनित कोड से जुड़े CVE को ट्रैक किया:

  • कुल 74 CVE AI कोड असिस्टेंट तक पहुंचे
  • Claude Code: 27 CVE (फाइल सिस्टम एक्सेस और कोड निष्पादन क्षमताओं के कारण सबसे अधिक)
  • GitHub Copilot: 4 CVE
  • Devin: 2 CVE
  • अकेले मार्च 2026 में 35 CVE खोजे गए — दर तेज हो रही है

Stanford शोध (2025)

नियंत्रित अध्ययन में पाया गया कि AI असिस्टेंट का उपयोग करने वाले डेवलपर्स:

  • असुरक्षित कोड लिखने की अधिक संभावना रखते हैं
  • अपने कोड के सुरक्षित होने के बारे में अधिक आश्वस्त थे (इसके कम सुरक्षित होने के बावजूद)
  • सुरक्षा दस्तावेज़ों से परामर्श करने की कम संभावना रखते हैं

Pillar Security रिपोर्ट (2026)

सुरक्षा शोधकर्ताओं ने GitHub Copilot और Cursor AI में नए अटैक वेक्टर खोजे:

  • रिपॉजिटरी फाइलों के माध्यम से प्रॉम्प्ट इंजेक्शन
  • कोड संदर्भ का बाहरी सर्वर पर एक्सफिल्ट्रेशन
  • रणनीतिक रूप से लिखी गई कोड टिप्पणियों के माध्यम से सुझावों में हेरफेर

AI कोड असिस्टेंट का अधिक सुरक्षित रूप से उपयोग कैसे करें

1. AI सुझावों को अविश्वसनीय इनपुट के रूप में व्यवहार करें

हर सुझाव को:

  • लाइन दर लाइन समीक्षा करनी चाहिए
  • सुरक्षा प्रभावों के लिए परीक्षण करना चाहिए
  • सुरक्षा सर्वोत्तम प्रथाओं के विरुद्ध मान्य करना चाहिए

यह न मानें कि AI-जनित कोड सुरक्षित है क्योंकि यह काम करता है।

2. संवेदनशील कोड के लिए एंटरप्राइज टियर का उपयोग करें

यदि आप प्रोप्राइटरी कोड पर काम कर रहे हैं:

उत्पाद एंटरप्राइज सुरक्षा
GitHub Copilot Enterprise कोड ट्रेनिंग के लिए उपयोग नहीं किया जाता, SOC 2 अनुपालन
Cursor AI Business बेहतर डेटा सुरक्षा
Claude Enterprise डेटा प्रोसेसिंग समझौता उपलब्ध

कोड लीकेज के जोखिम की तुलना में लागत का अंतर न्यूनतम है।

3. AI के साथ कभी भी क्रेडेंशियल्स साझा न करें

न करें:

  • प्रॉम्प्ट में API कुंजियाँ पेस्ट करें
  • संदर्भ में .env फाइलें शामिल करें
  • वास्तविक क्रेडेंशियल्स के साथ AI से "इस कनेक्शन स्ट्रिंग को डीबग करें" कहें

करें:

  • प्लेसहोल्डर मान का उपयोग करें: YOUR_API_KEY_HERE
  • कोड साझा करने से पहले संवेदनशील मान संपादित करें
  • क्रेडेंशियल्स को AI से बाहर रखी गई अलग फाइलों में रखें

4. सुरक्षा स्कैनिंग चलाएं

AI जो चूक जाता है उसे पकड़ने वाले स्वचालित सुरक्षा उपकरण एकीकृत करें:

  • SAST टूल्स (Semgrep, SonarQube) कोड विश्लेषण के लिए
  • डिपेंडेंसी स्कैनर (Snyk, Dependabot) कमजोर पैकेज के लिए
  • सीक्रेट स्कैनर (GitGuardian, TruffleHog) लीक हुए क्रेडेंशियल्स के लिए

हर कमिट पर चलाएं, विशेष रूप से AI-जनित कोड वाले कमिट पर।

5. टीम दिशानिर्देश बनाएं

AI कोड असिस्टेंट उपयोग के लिए स्पष्ट नीतियाँ स्थापित करें:

  • कौन से टियर उपयोग के लिए स्वीकृत हैं
  • कौन से प्रकार के कोड AI सहायता का उपयोग नहीं कर सकते
  • AI-जनित कोड के लिए आवश्यक समीक्षा प्रक्रियाएं
  • सुरक्षा प्रशिक्षण आवश्यकताएं

6. विकास के लिए सुरक्षित क्रेडेंशियल साझाकरण

जब संवेदनशील क्रेडेंशियल्स वाले प्रोजेक्ट्स पर सहयोग कर रहे हों:

न करें:

  • WhatsApp, Slack या ईमेल के माध्यम से क्रेडेंशियल्स साझा करें
  • रिपॉजिटरी में क्रेडेंशियल्स कमिट करें (प्राइवेट में भी)
  • AI चैट इंटरफेस में क्रेडेंशियल्स पेस्ट करें

करें:

  • टीम क्रेडेंशियल साझाकरण के लिए पासवर्ड मैनेजर का उपयोग करें
  • सीक्रेट मैनेजमेंट टूल्स का उपयोग करें (HashiCorp Vault, AWS Secrets Manager)
  • एन्क्रिप्टेड, समाप्त होने वाले लिंक के माध्यम से एकबारगी क्रेडेंशियल्स साझा करें

LOCK.PUB जैसी सेवाएं आपको पासवर्ड-संरक्षित नोट्स बनाने देती हैं जो देखने के बाद स्वयं-नष्ट हो जाते हैं — स्थायी निशान छोड़े बिना टीममेट्स के साथ डेटाबेस पासवर्ड, API कुंजियाँ या अन्य संवेदनशील क्रेडेंशियल्स साझा करने के लिए आदर्श।

आगे का रास्ता

AI कोड असिस्टेंट गायब नहीं होने वाले। वे बहुत उपयोगी हैं। लेकिन वर्तमान दृष्टिकोण — AI पर सुरक्षित कोड लिखने का भरोसा करना — स्पष्ट रूप से विफल हो रहा है।

समाधान AI कोडिंग टूल्स को छोड़ना नहीं है। यह है:

  1. AI कोड को जूनियर डेवलपर कोड की तरह व्यवहार करें — इसे समीक्षा की जरूरत है
  2. सुरक्षा टूल्स बनाए रखें — स्वचालित स्कैनिंग AI गलतियाँ पकड़ती है
  3. अपने डेटा की रक्षा करें — एंटरप्राइज टियर का उपयोग करें, सीक्रेट्स साझा न करें
  4. सूचित रहें — AI क्षमताओं के विस्तार के साथ सुरक्षा जोखिम विकसित होते हैं

2026 की शुरुआत में खोजे गए 74 CVE केवल शुरुआत हैं। जैसे-जैसे AI कोड असिस्टेंट अधिक शक्तिशाली और अधिक व्यापक रूप से अपनाए जाते हैं, अटैक सरफेस बढ़ता है। तदनुसार तैयारी करें।

अधिक जानें: AI टूल्स को सुरक्षित रूप से कैसे उपयोग करें →

क्रेडेंशियल्स साझा करने के लिए सुरक्षित नोट बनाएं →

कीवर्ड

github copilot प्रोप्राइटरी कोड सुरक्षित
ai कोड सुरक्षा जोखिम
cursor ai सुरक्षा
ai जनित कोड कमजोरियाँ
copilot असुरक्षित कोड सुझाव

यह भी पढ़ें

16 अरब पासवर्ड लीक: कैसे चेक करें कि आप प्रभावित हैं या नहीं

इतिहास की सबसे बड़ी पासवर्ड लीक में 16 अरब क्रेडेंशियल्स एक्सपोज हुए। जानें कैसे चेक करें कि आपके अकाउंट कॉम्प्रोमाइज हुए हैं और आगे क्या करें।

Security

AI एजेंट सुरक्षा जोखिम: AI को बहुत अधिक अनुमतियाँ देना खतरनाक क्यों है

Claude Code और Devin जैसे AI एजेंट स्वायत्त रूप से कोड निष्पादित कर सकते हैं, फ़ाइलों तक पहुँच सकते हैं और वेब ब्राउज़ कर सकते हैं। सुरक्षा जोखिमों और अपने डेटा की सुरक्षा के तरीकों के बारे में जानें।

Security

AI चैटबॉट डेटा लीक: जब आप ChatGPT में सेंसिटिव जानकारी पेस्ट करते हैं तो क्या होता है

क्या ChatGPT सेंसिटिव डेटा के लिए सेफ है? AI चैटबॉट्स के असली प्राइवेसी रिस्क, हाल की डेटा लीक्स, और अपनी गोपनीय जानकारी कैसे सुरक्षित करें - जानें।

Security

अभी अपना पासवर्ड-संरक्षित लिंक बनाएं

पासवर्ड-संरक्षित लिंक, गुप्त मेमो और एन्क्रिप्टेड चैट मुफ्त में बनाएं।

मुफ्त में शुरू करें
AI कोडिंग असिस्टेंट असुरक्षित कोड लिख रहे हैं: डेवलपर्स को क्या जानना चाहिए | LOCK.PUB Blog