În 2025 securitatea web a cunoscut o transformare accelerată, deoarece atacurile automatizate cu AI, compromiterea lanțului de aprovizionare software și tehnicile avansate de injectare au evidențiat limitările strategiilor reactive. Aceste evoluții impun organizaţiilor să adopte măsuri proactive pentru a proteja datele și infrastructura digitală.

Vibe coding: cod generat rapid, dar vulnerabil

Codul produs prin AI, denumit „vibe coding”, a fost integrat în peste 25 % dintre startup‑urile din Y Combinator. Analize recente arată că 45 % din codul generat automat conține vulnerabilităţi exploatabile, iar în Java proporţia depășește 70 %.

Incidente notabile

  • Ştergerea accidentală a unei baze de date de producție în timpul utilizării unui asistent AI;
  • Vulnerabilităţi critice în platforme precum Cursor și Claude Code;
  • Bypass‑uri de autentificare descoperite în aplicaţii dezvoltate integral cu AI.

Compromiterea platformei Base44 (Wix) în iulie a demonstrat că, în cazul unei defecţiuni a infrastructurii, toate aplicaţiile construite pe ea devin simultan vulnerabile, accentuând riscul pentru securitatea web.

Injecțiile JavaScript la scară industrială

În martie 2025, peste 150 000 de site-uri au fost afectate de o campanie de injectare JavaScript care promova platforme de pariuri. Atacatorii au utilizat suprapuneri CSS, iframe‑uri și poluarea prototipurilor, ocolind chiar și protecţiile încorporate în React. Numărul total de vulnerabilităţi raportate a depăşit 22 000, iar malware‑ul orientat către online banking a deturnat peste 50 000 de sesiuni.

Magecart 2.0: e‑skimming invizibil

Atacurile Magecart au crescut cu 103 % în doar şase luni. Scripturi aparent legitime au colectat date de card în timp real, activându‑se doar pe pagini de plată în condiţii specifice. Campania susţinută de domeniul cc‑analytics[.]com a rămas nedetectată cel puţin un an, evidenţiind necesitatea unui control continuu al securităţii web.

Atacuri asupra lanțului de aprovizionare AI

Depozitele open‑source au înregistrat un plus de 156 % al pachetelor maliţioase în comparaţie cu 2024, multe fiind generate cu ajutorul AI. Malware‑ul polimorf creat de modele avansate îşi rescrie codul automat pentru a evita detecţia. Cel mai grav incident, viermele Shai‑Hulud, a compromis 500 de pachete npm și 25 000 de depozite GitHub în 72 de ore, utilizând comentarii generate de AI și scripturi bash autonome.

Validarea confidenţialităţii pe web

70 % dintre site‑urile americane scanează utilizatorii cu cookie‑uri de publicitate chiar şi atunci când aceştia refuză. Actualizările constante provoacă „derapaj de confidenţialitate”, transformând problemele de conformitate în riscuri juridice comparabile cu breşele de securitate. Decizia din martie 2025 privind pixelii de tracking ai Capital One a clasificat scurgerea accidentală de date către terţi ca „exfiltrare”, expunând companiile la sancţiuni majore.

Securitatea web în 2025 subliniază că compromiterea trebuie considerată implicită, validarea continuă este obligatorie și AI reprezintă simultan o sursă de vulnerabilităţi și un instrument esenţial de apărare. Monitorizarea permanentă a acestor evoluţii devine crucială pentru orice organizaţie care dorește să menţină un nivel adecvat de protecţie în mediul digital.