ИИ превратил программирование в русскую рулетку: быстро стреляет, но что в патроне?
Он пишет, ты деплоишь. Кто несёт ответственность, если автор — машина?
В мире программирования стремительно меняется не только способ написания кода, но и представление о том, кому вообще можно доверять. Согласно новому отчёту Cloudsmith Artifact Management Report 2025 , искусственный интеллект уже сейчас генерирует как минимум половину исходного кода в ряде организаций — и значительная часть этих фрагментов напрямую уходит в продакшн без какого-либо контроля со стороны человека.
Среди тех, кто использует машинных ассистентов, 42% заявили, что ИИ генерирует не менее половины их рабочего кода. Из них каждый шестой признал, что основную часть программ создаёт ИИ, а 3,6% вообще полностью делегировали свои задачи машинам.
При этом отчёт не даёт точной оценки, сколько именно разработчиков пользуются такими инструментами. Однако косвенные данные от GitHub за прошлый год позволяют представить масштаб: более 97% опрошенных программистов из США, Бразилии, Германии и Индии хотя бы раз применяли ИИ-ассистентов в своей работе. В США поддержка таких решений на уровне компаний достигает 88%, в Германии — около 59%.
На первый взгляд, цифры обнадёживают: ИИ-генерация ускоряет работу, снимает рутину, позволяет сосредоточиться на архитектуре и логике. Однако Cloudsmith предупреждает: производительность — не единственное, что приходит вместе с нейросетями. Генеративные модели не всегда отличают подлинные библиотеки от вымышленных, а в ряде случаев предлагают прямо вредоносные пакеты . И именно в этом кроется новый уровень угроз.
Специалисты, как выяснилось, прекрасно осознают эти риски. В опросе 79,2% респондентов выразили мнение, что ИИ увеличит объём вредоносов в среде open source, включая угрозы типа typosquatting (злоупотребление опечатками в названиях пакетов) и dependency confusion (подмена зависимостей). Почти треть уверена: риск возрастёт существенно. Лишь 13% считают, что ИИ способен в перспективе снизить киберугрозы.
Особо тревожным моментом стал тот факт, что треть людей не проверяют сгенерированные ИИ программы перед деплоем, позволяя большим объёмам непроверенного материала попадать в продакшн. Хотя две трети респондентов заверили, что ручная проверка является для них обязательной, остаётся вопрос: насколько устойчива эта практика, если объём автогенерации продолжит расти?
Cloudsmith подчёркивает: ИИ приносит не только пользу, но и масштабирует старые проблемы, такие как контроль целостности артефактов, управление зависимостями и построение надёжных SBOM (Software Bill of Materials). Более того, система доверия к коду начинает разрушаться. Пока ИИ становится полноправным участником цепочки поставок ПО, инструменты и политики безопасности попросту не успевают за ним.
В условиях стремительного роста объёмов кода и повсеместного внедрения автогенерации, делать ставку исключительно на ручной ревью становится обречённой стратегией. Человеческая проверка перестаёт справляться с масштабом изменений, а усложнение программных решений больше не оставляет места наивной вере в «авось». Это момент перелома, в котором отрасль вынуждена определяться: либо пересматривать принципы доверия к исходному коду, либо наблюдать, как ИИ хаотично переписывает правила безопасности.
Главный тезис отчёта: проверка автогенерированного содержимого больше не может оставаться факультативной. Аудит должен быть не жестом доброй воли, а жёстко зафиксированной процедурой. В идеале — с автоматическим обнаружением подозрительных фрагментов и блокировкой уязвимых сборок до выхода в продакшн. И на фоне тотальной цифровизации такие шаги уже не выглядят чрезмерными.
Первое — находим постоянно, второе — ждем вас