vibe coding से बने patient management app की security तबाही

 (tobru.ch)
20 पॉइंट द्वारा GN⁺ 17 일 전 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • एक medical institution के कर्मचारी ने AI coding agent की मदद से खुद patient management system बनाया, और patient data इंटरनेट पर बिना encryption के उजागर हो गया
  • इलाज के दौरान हुई बातचीत की रिकॉर्डिंग दो AI services को भेजी गई और उनका automatic summary बनाया गया, जबकि पूरे data पर read·write permissions खुली हुई थीं
  • data अमेरिका के servers में store किया गया था, और इसे Data Processing Agreement (DPA) के बिना चलाया जा रहा था, साथ ही patients को पहले से इसकी जानकारी भी नहीं दी गई
  • ऐसी कार्रवाई से Switzerland के nDSG data protection law और professional confidentiality obligation का उल्लंघन होने की आशंका है
  • लेखक ने चेतावनी दी कि अगर AI coding सिर्फ vibe के स्तर पर रह गई, तो यह असुरक्षित भविष्य की ओर ले जाएगी

AI से बने patient management app की security तबाही

  • एक medical institution के कर्मचारी ने AI coding agent का उपयोग करके खुद patient management system बनाया
    • मौजूदा patient data पूरा का पूरा import करके इंटरनेट पर publicly deploy कर दिया
    • consultation के दौरान बातचीत रिकॉर्ड करने की सुविधा जोड़ी गई, और उसे दो AI services को भेजकर automatic summary feature बनाया गया
  • नतीजा यह हुआ कि सभी patient data बिना encryption के इंटरनेट पर उजागर थे
    • लेखक ने सिर्फ 30 मिनट में पूरे data पर read·write permissions हासिल कर लीं
    • समस्या की रिपोर्ट करने पर जवाब में AI द्वारा अपने-आप बनाया गया धन्यवाद संदेश मिला
  • data अमेरिका के servers में store था, और इसे Data Processing Agreement (DPA) के बिना चलाया जा रहा था
    • voice recording files भी अमेरिका स्थित AI कंपनियों को भेजी जा रही थीं
    • patients को इस data processing के बारे में पहले से सूचित नहीं किया गया था
  • यह कार्रवाई Switzerland के nDSG (data protection law) और professional confidentiality obligation (Berufsgeheimnis) का उल्लंघन हो सकती है
    • लेखक कानूनी विशेषज्ञ नहीं हैं, लेकिन उनका मानना है कि कई प्रावधानों का उल्लंघन हुआ है
  • चेतावनी दी गई कि अगर AI coding सिर्फ 'vibe' के स्तर पर रह गई, तो यह असुरक्षित भविष्य की ओर ले जाएगी

तकनीकी पृष्ठभूमि

  • application एक single HTML file से बना था
    • सारा JavaScript, CSS और structure code inline शामिल था
    • backend में बिना किसी access control वाला managed database service इस्तेमाल किया गया
  • access control logic सिर्फ client-side JavaScript में मौजूद था
    • सिर्फ एक लाइन के curl command से भी data access किया जा सकता था
  • सभी voice recording files सीधे external AI API को भेजी जाती थीं, जहां transcription और summarization किया जाता था
  • सिर्फ इतना ही देखने से गंभीर security failure साफ दिखाई देता है

आगे का संकेत

  • AI coding tools का उपयोग करते समय code structure और architecture को समझने की क्षमता जरूरी है
  • सिर्फ “AI के साथ coding vibe लेने” वाला तरीका खतरनाक नतीजे पैदा कर सकता है
  • AI development tools के तेज़ी से फैलने के दौर में बुनियादी security awareness और technical understanding अनिवार्य है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.