«Давай, ИИ, набросай мне код». Разработчики генерируют уязвимости, пока начальство не видит

leer en español

вайб-кодинг Gemini IBM Dark Reading ИИ утечка данных
«Давай, ИИ, набросай мне код». Разработчики генерируют уязвимости, пока начальство не видит
вайб-кодинг Gemini IBM Dark Reading ИИ утечка данных

Новый культ среди разработчиков оказался миной замедленного действия.

image

По мере того как генеративные модели всё глубже проникают в процесс разработки программ, у компаний растёт тревога — не столько из-за производительности, сколько из-за безопасности. Согласно опросу Dark Reading, лишь 25% разработчиков заявили, что им удалось внедрить vibe coding без существенных проблем, тогда как остальные признали: риски слишком высоки.

Под термином «vibe coding» понимают процесс, при котором программист отдаёт инструкции модели вроде Google Gemini на естественном языке, а она генерирует код без участия человека. С точки зрения скорости и удобства метод выглядит соблазнительно — именно поэтому, по данным Snyk, сегодня почти каждый крупный клиент компании уже применяет инструменты генерации кода. Но вместе с приростом эффективности появляются и новые угрозы.

Главная из них — качество создаваемого кода. Алгоритмы не способны адекватно оценивать безопасность решений и склонны к «галлюцинациям» — непредсказуемым ошибкам в логике. Результат нередко содержит уязвимости, которые разработчики замечают лишь после релиза. Поэтому большинство экспертов советует использовать ИИ-ассистентов как вспомогательный инструмент, но не допускать их к публикации финальных сборок без проверки людьми.

По данным опроса, в котором приняли участие около тысячи специалистов, только 24 % респондентов считают, что vibe coding действительно помогает создавать надёжные приложения быстрее. 41 % участников заявили, что не внедряют такие инструменты из-за слишком высокого уровня угроз, 16 % готовы рассмотреть эту практику после внесения изменений в процессы, а 19 % пока не применяют её, но планируют начать.

Тем не менее 76 % отказавшихся от полноценного использования вовсе не означают, что компании обходят тему стороной. Многие проводят эксперименты в тестовых средах или используют отдельные функции генерации кода в ограниченном режиме. Как отмечают в Omdia, реальная доля пользователей может быть выше официальных цифр, ведь часть разработчиков применяет подобные инструменты без уведомления руководства — так называемый «shadow vibe coding».

Такая серая зона уже превратилась в серьёзную проблему. Разработчики, пытаясь ускорить работу и обойти бюрократию согласований, подключают несанкционированные ИИ-сервисы, которые не проходят аудит и не контролируются службами безопасности. IBM в своём отчёте «Cost of a Data Breach 2025» показала, что каждый пятый опрошенный столкнулся с атакой, связанной с «теневым» использованием ИИ, а ущерб от таких инцидентов был в среднем на 670 000 долларов выше, чем у компаний, где подобные практики отсутствовали.

Несмотря на тревожные выводы, полностью остановить распространение vibe coding уже невозможно. Инструменты на базе LLM постепенно становятся неотъемлемой частью современного девелопмента, иногда даже без ведома команд информационной безопасности. Поэтому ключевым остаётся вопрос прозрачности и контроля.

Британское правительство уже опубликовало собственные рекомендации по безопасному применению ИИ-ассистентов при разработке ПО для государственных структур. В них подчёркивается необходимость понимать ограничения технологий, проверять результаты на ошибки, проводить код-ревью и обучать специалистов работе с нейросетями. Только при таком подходе можно добиться баланса между эффективностью и безопасностью, не превращая генеративный ИИ в источник новых уязвимостей.

Пока же индустрия учится на своих ошибках — и каждый новый пример показывает: автоматизация без ответственности всегда обходится дороже, чем ручной труд с головой.