COXSWAIN AI Fleet · Human Command
RO EN

Jurnal tehnic · 2026-06-12

Ce găsim când audităm aplicații construite doar cu AI

AI-ul scrie azi o aplicație funcțională în câteva ore. Asta e real și e impresionant. Problema: funcțional și pregătit de producție sunt lucruri diferite, iar diferența nu se vede în demo. Acestea sunt tiparele care apar constant în cod generat fără supraveghere de inginer.

1. Secrete în cod

Chei de API scrise direct în fișiere, .env urcat în repository, parole de baze de date în frontend. AI-ul optimizează pentru "să meargă acum", iar cel mai scurt drum e să pună cheia acolo unde e folosită. Oricine vede codul vede cheile.

2. Autentificare există, autorizare nu

Login-ul funcționează, dar serverul nu verifică ale cui sunt datele. Schimbi un ID în URL și vezi comenzile altui utilizator. E cea mai frecventă și cea mai gravă problemă pe care o găsim: aplicația pare sigură pentru că are parolă, dar orice client autentificat poate citi datele tuturor.

3. Date fără plasă de siguranță

Validare doar în frontend, fără migrări de schemă, fără backup-uri, fără tranzacții acolo unde banii își schimbă locul. Merge până în ziua în care nu mai merge, și atunci datele sunt pierdute, nu doar aplicația.

4. Dependențe multe, vechi și nepăzite

AI-ul adaugă liber pachete pentru orice mărunțiș, în versiunile pe care le știe din antrenament, nu în cele actuale. Rezultatul: zeci de dependențe neactualizate, unele cu vulnerabilități publice cunoscute, niciuna scanată vreodată.

5. Erori înghițite

Blocuri try/catch goale, fără logging, fără monitorizare. Aplicația nu pică zgomotos, pică în liniște: afli de la clienți, după o săptămână, că plățile nu se mai procesau.

6. Funcții LLM fără guardrails

Chatbots și funcții AI lipite direct pe API, fără limite de cost, fără protecție la prompt injection, cu date personale trimise către terți fără ca nimeni să fi decis asta. Factura nelimitată și scurgerea de date sunt ambele la un prompt distanță.

De ce se întâmplă

Nu pentru că AI-ul e prost. Pentru că AI-ul răspunde la întrebarea pusă: "fă să meargă". Întrebările pe care nu le pune nimeni sunt cele de inginer: cine are voie să vadă asta? Ce se întâmplă când pică? Cât costă la 10.000 de utilizatori? Cine plătește factura de API într-o buclă infinită?

AI-ul nu e problema. Lipsa verificării e.

Ai o aplicație construită cu AI? COXSWAIN o auditează: preț și durată fixe, raport concret cu ce e bine, ce e risc și plan de remediere prioritizat.

Cere un audit