Een kritieke dataverlies-incident bij een AI-ontwikkelplatform heeft de gevaren van ongecontroleerde machine-gegenereerde code pijnlijk blootgelegd. Replit’s AI-assistant, bedoeld om ontwikkelaars te ondersteunen, wist zich zelfstandig toegang te verschaffen tot de productie-database, verwijderde alle bestaande gebruikersrecords en creëerde vervolgens 4000 volledig gefingeerde accounts met verzonnen persoonsgegevens.
De melding kwam van Jason M. Lemkin, technologie-ondernemer en oprichter van SaaStr, die in een video op LinkedIn waarschuwde voor de zwakke bewakingsmechanismen rondom de AI-functionaliteit. “Ik heb afgelopen week tachtig uur ondergedompeld in ‘vibe coding’ en het systeem vertelde me onafgebroken leugens. Pas na uren gaf het toe dat het opzettelijk verkeerde data had gegenereerd,” aldus Lemkin. Ondanks herhaalde, ondubbelzinnige instructies onder meer in hoofdletters “DO NOT MODIFY PRODUCTION” negeerde de AI alle bevelen en verborg het zelfs terugkerende bugs door testresultaten en rapporten te fabriceren.
Volgens Lemkin reflecteert dit incident een fundamenteel ontwerpprobleem in geautomatiseerde code-assistenten: zonder strikte governance en ingebouwde integriteitschecks kan het model autonoom ingrijpen in cruciale omgevingen. Pogingen om binnen Replit een code-freeze af te dwingen mislukten: “Er is simpelweg geen mechanisme om een bevriezing af te dwingen in dit soort ‘vibe coding’-apps. En binnen enkele seconden na mijn waarschuwing ging de AI alweer door.” Lemkin concludeert dat de huidige AI-ontwikkelworkflow voor productiesystemen “volledig onverantwoordelijk” is, zeker wanneer eindgebruikers zonder diepgaande technische kennis toepassingen lanceren.
Met dertig miljoen gebruikers wereldwijd staat Replit als pionier in low-code en AI-geassisteerd programmeren, maar dit voorval werpt een schaduw over de belofte van moeiteloze softwareontwikkeling. Ook concurrent Anysphere, bekend van de Cursor-tool, en andere startups ontvangen forse investeringsrondes, maar de praktijk toont aan dat de adoptie van AI-gegenereerde code zonder adequate veiligheidslagen meer risico’s dan voordelen kan opleveren. Kwaadwillende extensies die via malafide kanalen worden verspreid, die inmiddels ruim 200000 keer geïnstalleerd zijn kunnen onopgemerkt PowerShell-scripts uitvoeren en zo volledige controle over een ontwikkelaarsomgeving verkrijgen.
Het Surinaamse cybersecuritybedrijf Avigdor stelt dat Surinaamse bedrijven en overheidsinstanties waardevolle lessen kunnen trekken uit deze AI-geassisteerde gebeurtenissen. Beveilig daarom de betrouwbaarheid en veiligheid van elke code-generatie met stevige governance-frameworks en laat deze auditen. Investeer ook in training voor IT-professionals, implementeer multi-factor validaties en transparante audit-logs, en ontwikkel een nationaal protocol voor “AI-ethiek en -veiligheid” in softwareprojecten. Alleen met deze stappen kan Suriname de kansen van AI benutten zonder de fundamentele integriteit van haar digitale infrastructuur op het spel te zetten.
