এআই কোডিং সহায়ক ডেলিভারি ত্বরান্বিত করে কিন্তু নিরাপত্তা ঝুঁকি বহুগুণ বাড়ায়

এআই কোডিং সহায়ক উৎপাদনশীলতা লাভ নিয়ে আসে কিন্তু নিরাপত্তা ঝুঁকি দশগুণ করে। সিইওরা এআই ব্যবহার বাধ্যতামূলক করছেন, কিন্তু ঝুঁকি কী? বিস্তারিত পড়ুন!

সর্বশেষ সম্পাদনা: ২০২৫-০৯-০৫ ২০:১৫

লিখেছেন:

সম্পাদক

আমি আনিস আফিফি — একজন উদ্যোক্তা এবং ওয়েব ডেভেলপার, যার একটি বড় স্বপ্ন হলো মানবজাতির জন্য পৃথিবীকে আরও ভালো একটি জায়গায় পরিণত করা। আমি ব্র্যান্ড তৈরি...

ফলো:

- সম্পাদক

সিইওরা (CEOs) এআই কোডিং সহায়কগুলোকে দৈনন্দিন ডেভেলপমেন্টে ঠেলে দিচ্ছেন, কিন্তু নতুন এন্টারপ্রাইজ তথ্য দেখাচ্ছে যে উৎপাদনশীলতার লাভের সঙ্গে নিরাপত্তার একটা বিরাট খরচ যুক্ত।

শিরোনাম

তথ্যের ভিতরে: এআই কোডিং সহায়ক কীভাবে ডেভেলপারের আচরণ পরিবর্তন করে আরও কোড, কম পুল রিকোয়েস্ট এবং অনেক বেশি দুর্বলতা টাইপো থেকে টাইমবম্ব: এআই কোডিং সহায়ক ঝুঁকির প্রোফাইল পরিবর্তন করে কেন রিভিউ প্রক্রিয়া ভেঙে পড়ছে

কয়েনবেসের প্রধান ব্রায়ান আর্মস্ট্রং (Brian Armstrong) তো বিখ্যাতভাবে ইঞ্জিনিয়ারদের এআই টুলস ব্যবহার করতে বাধ্য করেছিলেন, এমনকি যারা অস্বীকার করেছিল তাদের ছাঁটাই পর্যন্ত করেছিলেন। লেমোনেডের (Lemonade) ড্যানিয়েল শ্রেইবার (Daniel Schreiber) কর্মীদের বলেছিলেন, “এআই ব্যবহার বাধ্যতামূলক।” সিটি ব্যাঙ্ক (Citi bank) তো হাজার হাজার ডেভেলপারের জন্য এজেন্টিক এআই (agentic AI) রোল আউট করেছে।

এমনকি এই চ্যাম্পিয়নরা স্বীকার করছেন যে নেতিবাচক দিকগুলো পুরোপুরি বোঝা যায়নি। স্ট্রাইপের (Stripe) জন কলিসন (John Collison) বলেছেন: “এটা স্পষ্ট যে কোড লেখায় এআই সাহায্য খুব উপকারী। কিন্তু এআই-লিখিত কোডবেস কীভাবে চালানো যাবে, সেটা স্পষ্ট নয়।” আর্মস্ট্রং উত্তর দিয়েছিলেন: “আমি একমত। আমরা এখনও সেটা বুঝে উঠছি।”

অপিরোর (Apiiro) নতুন তথ্য, যা ফরচুন ৫০ (Fortune 50) সংস্থার কোডবেস বিশ্লেষণ করেছে, দেখাচ্ছে কেন এই উদ্বেগগুলো যথার্থ। কোম্পানির অধ্যয়ন বলছে, যে টুলগুলো কোডিং গতি চারগুণ পর্যন্ত বাড়ায়, সেগুলোই নিরাপত্তা সমস্যা দশগুণ করে, কোড রিভিউ প্রক্রিয়া চাপে পড়ে যায় এবং গভীরতর আর্কিটেকচারাল দুর্বলতা ছড়িয়ে পড়ে।

তথ্যের ভিতরে: এআই কোডিং সহায়ক কীভাবে ডেভেলপারের আচরণ পরিবর্তন করে

অপিরোর গবেষণা তাদের প্যাটেন্টকৃত ডিপ কোড অ্যানালাইসিস ইঞ্জিন (Deep Code Analysis engine) ব্যবহার করে হাজার হাজার রিপোজিটরি এবং বড় এন্টারপ্রাইজের হাজার হাজার ডেভেলপারকে পরীক্ষা করেছে, যেখানে একাধিক কোডিং সহায়কের প্রভাব ট্র্যাক করা হয়েছে। অধ্যয়নটি দেখাচ্ছে কাজের প্যাকেজিং এবং মার্জিংয়ে একটা পরিবর্তন ঘটছে।

এআই-সাহায্যপ্রাপ্ত ডেভেলপাররা তাদের সহকর্মীদের চেয়ে ৩-৪ গুণ বেশি কমিট তৈরি করেছেন, যারা সহায়ক ব্যবহার করেননি। কিন্তু সেই কমিটগুলো সামগ্রিকভাবে কম সংখ্যক পুল রিকোয়েস্টে (pull requests) বান্ডেল করা হয়েছে, প্রত্যেকটা বড় স্কোপের এবং আরও বেশি ফাইল ও সার্ভিস স্পর্শ করে। এই ঘনত্ব সূক্ষ্ম ভাঙনের সম্ভাবনা বাড়ায় এবং দ্রুত গতিতে পুরোপুরি রিভিউ করা কঠিন করে তোলে।

একটা উদাহরণে, একটা এআই-চালিত পুল রিকোয়েস্ট একাধিক সার্ভিসে অথরাইজেশন হেডার (authorisation header) পরিবর্তন করেছিল। একটা ডাউনস্ট্রিম সার্ভিস আপডেট না হওয়ায় একটা নীরব অথরাইজেশন ব্যর্থতা ঘটে, যা অভ্যন্তরীণ এন্ডপয়েন্টস (internal endpoints) উন্মুক্ত করার ঝুঁকি তৈরি করে। এই ঘটনাটি দেখায় যে বিস্তৃত, মাল্টি-সার্ভিস পরিবর্তন যখন বড় পুল রিকোয়েস্টে চলে, তখন বিস্ফোরণের রেডিয়াস (blast radius) বাড়ে।

আরও কোড, কম পুল রিকোয়েস্ট এবং অনেক বেশি দুর্বলতা

এআই-সাহায্যপ্রাপ্ত দলগুলোতে নিরাপত্তা ফাইন্ডিংসের পরিমাণ দশগুণ বেড়েছে, এমনকি পুল রিকোয়েস্ট প্রায় এক-তৃতীয়াংশ কমেছে। এই সমন্বয় রিভিউয়ের জন্য কম সারফেস ছেড়ে যায়, যাতে সমস্যাগুলো মেইন ব্রাঞ্চে (main branches) পৌঁছানোর আগে ধরা পড়ে, এবং অনিবার্যভাবে ইমার্জেন্সি হটফিক্স (emergency hotfixes) এবং ইনসিডেন্ট রেসপন্স (incident response) বাড়ায়।

অপিরোর তথ্য দেখাচ্ছে যে এআই আউটপুট ত্বরান্বিত করায় ঝুঁকি জমা হচ্ছে। বড়, মাল্টি-টাচ পুল রিকোয়েস্টগুলো একসঙ্গে একাধিক সমস্যা নিয়ে আসে। যখন কম সংখ্যক, বিস্তৃত পরিবর্তন পাইপলাইনে চলে, প্রত্যেক মার্জ ক্রিটিকাল পাথস (critical paths) ভাঙার বেশি সম্ভাবনা বহন করে সার্ভিস এবং ইন্টারফেস জুড়ে।

২০২৫ সালের জুন মাস নাগাদ, অধ্যয়িত পরিবেশে এআই-জেনারেটেড কোড প্রতি মাসে ১০,০০০-এর বেশি নতুন নিরাপত্তা ফাইন্ডিংসের জন্য দায়ী হয়েছে, যা ২০২৪ সালের ডিসেম্বরের চেয়ে দশগুণ বেশি। বৃদ্ধির বক্ররেখা ধীর না হয়ে আরও তীব্র হচ্ছে।

দুর্বলতাগুলো অ্যাপ্লিকেশন ঝুঁকির সমস্ত পরিসর জুড়ে। এর মধ্যে রয়েছে ডিপেন্ডেন্সি সমস্যা (dependency issues), অসুরক্ষিত কোডিং প্যাটার্ন (insecure coding patterns), উন্মুক্ত সিক্রেটস (exposed secrets) এবং ক্লাউড মিসকনফিগারেশন (cloud misconfigurations)। এই বৃদ্ধি একটা নির্দিষ্ট শ্রেণির দুর্বলতায় সীমাবদ্ধ নয়; এটা সর্বত্রব্যাপী একটা উত্থান।

টাইপো থেকে টাইমবম্ব: এআই কোডিং সহায়ক ঝুঁকির প্রোফাইল পরিবর্তন করে

তথ্যে কিছু ভালো খবরও রয়েছে। এআই-লিখিত কোডে সাধারণ সিনট্যাক্স ভুল (syntax mistakes) ৭৬ শতাংশ কমেছে, এবং লজিক বাগস (logic bugs) ৬০ শতাংশের বেশি কমেছে। সহায়কগুলো সারফেস-লেভেল হাইজিনে (surface-level hygiene) দক্ষ, যা লিন্টারস (linters) এবং বেসিক চেকস শক্তিশালী করে।

কিন্তু ট্রেড-অফ উদ্বেগজনক। গভীরতর আর্কিটেকচারাল ঝুঁকি অনেক দ্রুত হারে বাড়ছে। অপিরো রিপোর্ট করছে প্রিভিলেজ এসকেলেশন পাথস (privilege escalation paths) ৩২২ শতাংশ এবং আর্কিটেকচারাল ডিজাইন ফ্লস (architectural design flaws) ১৫৩ শতাংশ বেড়েছে।

এগুলো সিস্টেমিক সমস্যা, যা স্ক্যানাররা প্রায়ই মিস করে এবং রিভিউয়াররা কম্পোনেন্টসের মধ্যে সম্পর্কের বিস্তৃত কনটেক্সট ছাড়া ধরতে পারেন না। ভাঙা অথেনটিকেশন ফ্লোস (broken authentication flows), অসুরক্ষিত ডিজাইন এবং সার্ভিস বাউন্ডারিজের দুর্বলতা (service boundaries) ল্যাটেন্ট হ্যাজার্ডসে (latent hazards) পরিণত হয়, যা একবার এম্বেড হলে চিহ্নিত এবং ঠিক করা কঠিন।

আরেকটা উদ্বেগের ক্ষেত্র হলো সিক্রেটস ম্যানেজমেন্ট (secrets management)। এআই-সাহায্যপ্রাপ্ত ডেভেলপাররা অ্যাজুর সার্ভিস প্রিন্সিপালস (Azure Service Principals) এবং স্টোরেজ অ্যাক্সেস কিস (Storage Access Keys) প্রায় দ্বিগুণ বার উন্মুক্ত করেছেন তাদের নন-অ্যাসিস্টেড সহকর্মীদের চেয়ে। লজিক বাগের মতো নয়, একটা লিকড কী (leaked key) প্রোডাকশন ক্লাউড রিসোর্সে তাৎক্ষণিক প্রবেশের সুযোগ দিতে পারে।

কারণ সহায়কগুলো সমন্বিত, মাল্টি-ফাইল পরিবর্তন জেনারেট করতে পারে, একটা অসতর্কভাবে ম্যানেজড ক্রেডেনশিয়াল (mismanaged credential) কয়েকটা সার্ভিস বা কনফিগারেশন ফাইলে কপি হয়ে যেতে পারে কেউ লক্ষ্য করার আগে।

কেন রিভিউ প্রক্রিয়া ভেঙে পড়ছে

প্রথাগত রিভিউ প্র্যাকটিসগুলো ঘন ঘন, ছোট পুল রিকোয়েস্টের জন্য ক্যালিব্রেটেড, যা পরিবর্তন আইসোলেট করে এবং জটিলতা কমায়। অপিরোর ফাইন্ডিংস দেখাচ্ছে এআই দলগুলোকে কম সংখ্যক, বিস্তৃত মার্জের দিকে ঠেলে দিচ্ছে, যা একাধিক সার্ভিস এবং ফাইল স্প্যান করে, রিভিউয়ারের ফোকাস পাতলা করে এবং ফিডব্যাক ধীর করে।

এটা কোনো ত্রুটির পরিণামকে বাড়িয়ে তোলে। একটা ছোট পরিবর্তনে মিসড সমস্যা হয়তো নিরীহ বা সহজে রোলব্যাক করা যায়। কিন্তু ক্রস-সার্ভিস পরিবর্তনে মিসড সমস্যা ক্রিটিকাল পাথস ভাঙতে পারে, সমন্বিত ফিক্স দরকার হয় এবং মিন টাইম টু রিকভারি (mean time to recovery) বাড়ায়। এআই আউটপুট বাড়ানোর সঙ্গে, অনরিভিউড ঝুঁকি দ্রুত জমা হতে পারে যদি না গভর্ন্যান্স (governance) গতি বজায় রাখে।

লিডারশিপের জন্য বার্তা সোজা। যদি উৎপাদনশীলতার জন্য এআই কোডিং সহায়ক বাধ্যতামূলক করা হয়, তাহলে নিরাপত্তা দলেরও সমান সক্ষম এআই দরকার আউটপুট গভর্ন করার জন্য। অপিরো যুক্তি দিচ্ছে যে প্রথাগত স্ক্যানিং এবং সারফেস চেকস যথেষ্ট নয় নতুন শ্রেণির আর্কিটেকচারাল ভুল এবং ক্রস-সার্ভিস ঝুঁকি ধরার জন্য, যা সহায়করা নিয়ে আসতে পারে।

বিস্তৃত শিল্প আলোচনা এখন এআই-লিখিত কোডের নভেলটি পার করে যাচ্ছে। ইঞ্জিনিয়ারিং লিডারদের প্রক্রিয়া এবং টুলিং অ্যাডাপ্ট করতে হবে যাতে গতি নিয়ন্ত্রণকে ছাড়িয়ে না যায়, নাহলে ইনসিডেন্টগুলো আরও ঘন ঘন এবং গুরুতর হয়ে উঠবে।

~40% of daily code written at Coinbase is AI-generated. I want to get it to >50% by October.

Obviously it needs to be reviewed and understood, and not all areas of the business can use AI-generated code. But we should be using it responsibly as much as we possibly can. pic.twitter.com/Nmnsdxgosp
— Brian Armstrong (@brian_armstrong) September 3, 2025

বড় এন্টারপ্রাইজের তথ্য একটা স্মরণীয় যে সফটওয়্যার ডেভেলপমেন্টে এআই কোডিং সহায়কের প্রতিশ্রুতি বাস্তব কিন্তু শর্তসাপেক্ষ। লাভগুলো দ্রুত দেখা যায় ভুল কমানো এবং দ্রুত ডেলিভারিতে। খরচগুলো ঠিক তত দ্রুত উদ্ভাসিত হয় গভীরতর ঝুঁকির আকারে।

দুই দিককেই সমান গুরুত্ব দিয়ে সমাধান করা এখন অপশন নয়, বাধ্যতামূলক।

ট্যাগএআই ডেভেলপমেন্ট নিরাপত্তা

লিখেছেন:আনিস আফিফি

সম্পাদক

ফলো:

আমি আনিস আফিফি — একজন উদ্যোক্তা এবং ওয়েব ডেভেলপার, যার একটি বড় স্বপ্ন হলো মানবজাতির জন্য পৃথিবীকে আরও ভালো একটি জায়গায় পরিণত করা। আমি ব্র্যান্ড তৈরি করি, ডিজিটাল সমস্যাগুলোর সমাধান করি। এবং এমন একটি ভবিষ্যত তৈরি করতে চাই যা মানুষকে ক্ষমতায়িত করে।