Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Маркет
eSIM для поездок
Викторина
Темы
AI
Сервисы
Маркетинг
Личный опыт
Деньги
Инвестиции
Крипто
Карьера
Право
Образование
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения

Мы используем
рекомендации.

Илья Утов - Ilya Utov
AI

Вайб-кодинг оставляет в 4 раза больше уязвимостей: данные на 216 миллионов находок

AI генерирует код быстрее человека. Это правда. А ещё AI-код содержит в четыре раза больше уязвимостей. Это тоже правда, только об этом говорят тише.

OX Security выпустили Application Security Benchmark 2025. Проанализировали 216 миллионов security-находок у 250+ организаций. Главная цифра: репозитории с AI-кодогенерацией показывают 795 findings на репо. Без AI - 202. Разница в 3.9 раза.

Откуда берутся дыры

AI-модели обучены на публичном коде. Публичный код полон типовых уязвимостей. Модель воспроизводит паттерны, включая паттерны ошибок. SQL-инъекции, захардкоженные ключи, небезопасная десериализация - всё это AI вставляет уверенно и часто.

Второй фактор серьёзнее. Называется "automation bias". Когда человек видит код, сгенерированный "умной машиной", критичность восприятия падает. Команда Google DeepMind фиксировала похожий эффект: разработчики пропускали баги в AI-коде, которые заметили бы в ручном.

При чём тут бизнес

Я работаю с компаниями на 10-200 человек. Картина одинаковая: CTO (или единственный разработчик) ставит Cursor, подключает Claude Code, пилит фичи с утра до вечера. Скорость выросла. Code review? "Потом сделаем." Security scan? "Когда вырастем."

Проблема в том, что баги растут вместе с кодовой базой. И растут быстрее, чем раньше. Когда вы писали 50 строк в день, вы успевали их обдумать. Когда AI пишет 500 - вы физически не можете всё проверить.

Что делать (чеклист на 30 минут)

Первое. Подключить SAST-сканер. Snyk, SonarQube - у обоих есть бесплатные тарифы. Настраивается за 10-15 минут. Сканирует каждый PR автоматически.

Второе. Правило: AI-код проходит тот же code review, что и человеческий. Не "посмотрю по диагонали". Полноценный review, с вопросами "зачем тут этот import" и "откуда эти credentials."

Третье. Тесты безопасности пишет другая модель. Если Claude Code написал функцию, пусть GPT или Gemini напишет для неё security-тесты. Модели ловят ошибки друг друга лучше, чем свои собственные.

Вайб-кодинг никуда не денется. Но сейчас мы на фазе "все восторгаются скоростью". Фаза "а чей это стартап взломали через AI-сгенерированную дыру" ещё впереди. Лучше подготовиться.

Отчёт: OX Security Application Security Benchmark 2025 (prnewswire.com) Больше разборов AI для бизнеса: t.me/gorilla_under_hood

3
Начать дискуссию