Aplikacje pisane na „czuja”. Lawina w App Store dzięki sztucznej inteligencji

Kiedyś, by stworzyć aplikację na iPhone’a, trzeba było opanować język programowania, spędzić noce przed monitorem i wyrywać sobie włosy z głowy z powodu brakującego średnika w kodzie. Dziś wystarczy odpowiedni „vibe” i AI.

App Store jest właśnie dosłownie zalewany tysiącami programów wygenerowanymi przez AI. Z raportów firmy badawczej Sensor Tower wynika, że liczba zgłoszeń do App Store w pierwszym kwartale 2026 roku osiągnęła poziom 235 800. To gigantyczny wzrost o 84 procent rok do roku! Za ten szturm na serwery Apple odpowiada jedno, nowo powstałe zjawisko – tzw. „vibe coding”.

Zjawisko to polega na wykorzystywaniu zaawansowanych modeli AI (takich jak ChatGPT Codex czy Claude Code) do pisania aplikacji bez posiadania tradycyjnej wiedzy programistycznej. Użytkownik, używając języka naturalnego, opisuje, jak ma wyglądać i działać program, a sztuczna inteligencja tworzy pod to gotowy kod. Sam Apple dolał zresztą oliwy do ognia, udostępniając podobne zautomatyzowane narzędzia w najnowszej wersji oprogramowania Xcode 26.3.

Zespół recenzentów z Cupertino dwoi się i troi, by sprostać temu zalewowi – według oficjalnych danych udaje im się przejrzeć 90 procent z tych aplikacji w czasie krótszym niż 48 godzin, również dzięki wewnętrznemu wsparciu sztucznej inteligencji.

Pojawia się jednak ogromny problem kontroli jakości. App Store zalewa fala oprogramowania wątpliwej użyteczności. Co gorsza, programowanie „klimatem” często tworzy luki w zabezpieczeniach. Wygląda na to, że Apple będzie musiało wkrótce zaostrzyć swoje filtry, by oddzielić użyteczne nowości od cyfrowego gruzu produkowanego hurtowo przez boty.

Vibe coding może zmienić App Store na zawsze

"Magiczne pliki Gita" - brzmi ciekawie, ale jeden z tych plików wszyscy znamy doskonale, gdyż jest to ".gitignore". Jednak świat się na nim nie kończy i jest wiele przykładów tego typu, który omawia ten artykuł.

#programowanie #Git

https://nesbitt.io/2026/02/05/git-magic-files.html

Długi, ale interesujący i ważny artykuł o tym, że programowanie przez 8 godzin dziennie jest zwykle mrzonką. Oczywiście, gdy mówimy o takim głębokim "deep worku" i choć czasem zdarza się to osiągnąć, to jednak zbyt wiele rzeczy nas rozprasza. Poznajmy to zamiast z tym walczyć.

#programowanie #timeManagement #zarzadzanie

https://newsletter.techworld-with-milan.com/p/you-can-code-only-4-hours-per-day

Europejska Fundacja Wolnego Oprogramowania uruchamia konkurs dla młodych osób chcących rozwijać open source

https://szmer.info/post/13251963

Poważny atak programistów. Popularna biblioteka axios była zainfekowana.

Oprogramowanie na twoim komputerze korzysta z Node’a? I masz w paczkę axiosa jako zależność? Rzuć wszystko i sprawdź z jakiej wersji korzystasz. Ktoś wstrzyknął do tej biblioteki złośliwy kod. Jeśli ją pobrałeś, Twój sprzęt i klucze chmurowe są w rękach przestępców.

Co się stało?
Właśnie odkryto kolejny poważny atak na łańcuch dostaw. Tym razem oberwała popularna biblioteka programistyczna axios powszechnie wykorzystywana do generowania żądań (pobierana ok. 100 milionów razy tygodniowo!). Tuż po północy atakujący przejęli kontrolę nad kontem npm twórcy biblioteki axios (jasonsaayman) i opublikowali dwie złośliwe wersje, omijając pipeline CI/CD oparty o GitHub Actions i OIDC (Trusted Publisher). Skorzystali po prostu z ręcznej publikacji z pomocą wykradzionego developerowi długoterminowego tokenu dostępu:
1.14.1 (31 marca o 00:21 UTC, tag latest)
0.30.4 (31 marca 01:00 UTCtag legacy)
Zachowanie wstrzykniętego złośliwego kodu różni się między systemami:

Windows: Nadpisuje i chowa się pod fałszywym plikiem Windows Terminal (%PROGRAMDATA%\wt.exe), po czym odpala złośliwego PowerShella. (np. %TEMP%\6202033.ps1, %TEMP%\6202033.vbs)
macOS: Udaje demona systemowego, zrzucając plik do rzadko sprawdzanego katalogu /Library/Caches/com.apple.act.mond (plus pliki pod $TMPDIR/6202033).
Linux: Instaluje pythonowego backdoora w /tmp/ld.py.

Malware łączy się z C2 pod adresem sfrclak[.]com:8000 i wysyła dane o Twoim środowisku, nasłuchuje poleceń oraz zaciera za sobą ślady usuwając pliki instalacyjne. Daje też atakującemu możliwość zdalnego wykonania kodu (RCE).
IoC:
IP Serwerów C2: 142.11.206[.]73
Domena kampanii C2 i URL: http://sfrclak[.]com:8000/6202033 oraz sfrclak[.]com (do odrzucenia na poziomie /etc/hosts / iptables)
Złośliwe [...]

#Ataki #Axios #Programowanie

https://niebezpiecznik.pl/post/powazny-atak-programistow-popularna-biblioteka-axios-byla-zainfekowana/

Jeśli kodujecie w #JavaScript, na pewno nieraz użyliście #Date. A pewnie i nieraz narzekaliście na tę klasę. Autor też, dlatego przedstawia rozsądną alternatywę w postaci Temporal, który ma jedną dużą przewagę nad stareńkim poprzednikiem.

#programowanie #WebDev

https://piccalil.li/blog/date-is-out-and-temporal-is-in/

Rozproszone systemy mają duże zalety i są zasadne, ale przynoszą też zupełnie nowy wachlarz wyzwań, takich jak np. kolejność wiadomości. Jak sobie z tym poradzić - oto refleksje.

#DistributedSystems #architekturaOprogramowania #programowanie

https://devszczepaniak.pl/kolejnosc-wiadomosci-w-systemach-rozproszonych/

Jeśli lubie traity w #PHP, to nic w tym złego, ale zawsze warto konfrontować swoje zdanie z opiniami innych programistów. Na przykład takich, jak autor tego tekstu, który traitów nie lubi i pokazuje, jak je zamienić na np. Dependency Injection.

#programowanie

https://dev.to/tegos/why-i-avoid-php-traits-and-what-i-use-instead-1288

Ktoś zatruł popularną pythonową paczkę z 97 milionami pobrań…

Wczoraj, 24 marca, na oficjalnym repozytorium PyPI pojawiła się złośliwa wersja szalenie popularnej biblioteki LiteLLM (wersje 1.82.7 oraz 1.82.8). Czym jest LiteLLM? To opensource’owa “bramka”, która ułatwia programistom łączenie się z wieloma modelami językowymi (LLM) za pomocą jednego interfejsu API. To nie jest niszowy projekt, paczka ma na liczniku ponad 97 milionów pobrań.
Wystarczyło zainstalować. Nie trzeba było nawet uruchamiać!Atakujący wykorzystali mechanizm ukrywania kodu w plikach z rozszerzeniem “.pth” (tzw. Python Startup Hooks). Wrzucony przez nich do zatrutej paczki plik “litellm_init.pth” był automatycznie wykonywany przy każdym uruchomieniu interpretera Pythona.
To oznacza, że programiści-ofiary nie musieli wcale pisać “import litellm” w swoim kodzie. Wystarczyło, że zainstalowali paczkę (np. poprzez pobranie innego projektu, który używał LiteLLM jako zależności), a ukryty złośliwy skrypt uruchamiał się w tle przy każdym wywołaniu Pythona. Złośliwy kod wykradał z systemu:

Klucze SSH, zmienne środowiskowe (a więc i klucze API), i pliki z konfiguracją Dockera.
Dane uwierzytelniające do chmur AWS, GCP, Azure oraz całe konfiguracje klastrów Kubernetes.
Klucze prywatne TLS, hasła do baz danych (PostgreSQL, MySQL, Redis) i pliki portfeli kryptowalutowych.
Historia powłoki (bash_history, zsh_history), gdzie często lądują hasła wpisywane “z palca”.

Wszystkie te dane są pakowane do archiwum tpcp.tar.gz, szyfrowane i wysyłane na serwer kontrolowany przez napastników: “models.litellm[.]cloud“. Wiecie więc już czego szukać w logach… Szacuje się, że ofiarą tego ataku mogło paść nawet 500 000 urządzeń. Ale mogło być gorzej…
Wpadka hakera zmniejszyła katastrofęCo ciekawe, atakujący popełnili głupi błąd. Jak informuje [...]

#AI #Hacked! #LiteLLM #Programowanie #PyPI #Python

https://niebezpiecznik.pl/post/litellm-pypi-python-hack/

Autor zrobił eksperyment - napisał aplikację w 12 frameworkach frontendowych (oczywiście, #JavaScript, bo czemuż by nie) i opisuje ich zalety i wady. Bardzo ciekawy tekst, pokazujący także nieco mniej znane rozwiązania, choć jest tutaj "topka".

#programowanie #WebDev #frontend #React #Vue #Angular #Svelte #Astro #Solid

https://dev.to/lissy93/i-built-an-app-in-every-frontend-framework-4a9g