Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Маркет
Подписка ChatGPT
Темы
AI
Сервисы
Маркетинг
Личный опыт
Деньги
Инвестиции
Крипто
SEO
Карьера
Образование
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Almas Abulkhairov

Вайбкодинг и фандрейзинг

Поговорим про то, как новая реальность AI-кодинга встречается со старой реальностью инвесторского DD.

Когда ты что-то кодишь для себя или для пет-проекта, тут как говорится каждый др***т как он хочет. Хочешь вайбкодить с Cursor в режиме YOLO, хочешь Claude Code на автопилоте, хочешь принимать все диффы подряд не глядя. Твой проект, твоя жизнь, твои нервы. Поломается, восстановишь, никто не пострадал.

А вот когда идёшь поднимать раунд, история совсем другая. Инвестор хочет не только трекшн и красивые метрики. Он хочет, чтобы продукт реально работал и не был дырявый как швейцарский сыр. Потому что иначе позор. И так дела не делаются.

В инвест-прессе уже несколько публичных кейсов, как фонды отказывают на стадии technical DD из-за AI-сгенерированного кода. И, ребята, цифры по рынку реально жёсткие.

1/ Security-стартап Escape просканил 5600 vibe-coded приложений. Нашли 2000+ уязвимостей, 400+ открытых секретов (API ключи и креды БД прямо в коде), 175 утечек персональных данных пользователей. Это не edge case, это фон рынка.

2/ Анализ 200+ AI-сгенерированных приложений за Q1 2026 показал: 91.5% содержат как минимум одну уязвимость, прилетевшую из-за галлюцинаций модели. То есть 9 из 10 vibe-coded стартапов уязвимы прямо сейчас, и об этом не знает ни фаундер, ни инвестор.

3/ Georgia Tech ведёт публичный проект "Vibe Security Radar". Трекают официальные CVE, появившиеся именно из-за AI-кода. В январе 6 штук, в феврале 15, в марте уже 35. Кривая жёсткая.

4/ Lovable, платформа с оценкой $6.6 млрд и 8 миллионами юзеров. За пару месяцев три инцидента подряд: утекли исходники клиентских проектов, креды баз данных, AI чаты и personal data тысяч юзеров. Одна дыра висела открытой 48 дней после того как им её зарепортили. Это та самая платформа, на которой ваши не-технические "фаундеры" клепают MVP за выходные.

5/ В индустриальной прессе разбирали кейс: сингапурский PE-фонд прогнал AI-аудит кодовой базы SaaS-таргета перед сделкой и нашёл столько скрытого технического долга и дыр, что вышел из сделки. Раньше "посмотреть код" на DD был быстрый скан репо с интервью CTO. Сейчас фонды гоняют код через AI-инструменты, которые за полчаса находят то, что человек неделю искал бы.

6/ Сам Escape поднял $18M ровно на замену ручного пентестинга AI-агентами для сканирования vibe-coded приложений. Деньги уже текут в инфру, которая через год будет стоять на DD у каждого второго фонда. И тут не помогут красивая дека и хороший трекшн, если в коде лежит хардкоженный AWS-ключ.

Вывод по понятиям такой:

Если кодите с AI (а кодить будете все, никто уже руками не пишет), хорошо бы шарить в том, что у вас в репо. Не только через диалог с Claude Code или Cursor в чате, типа "сделай мне auth и не еби мозги". А открыть редактор по-старинке, посмотреть глазами. Понимать что лежит в каждом файле, как устроена аутентификация, как пайплайн платежей, где хранятся секреты. Ну хотя б убедиться что рейт-лимиты на логиновые вьюхи то есть!

Не на уровне senior engineer'а, конечно (хотя желательно, я так учу ребят кто у нас на вайб-потоках учатся).

Но хотя бы на уровне "я не охуею, когда инвестор покажет мне SQL injection в форме логина на демо".

Иначе так и будет: дека огонь, трекшн растёт, MRR 30к, всё круто. А потом тишина после technical DD, и через неделю вежливое "мы решили пасс, удачи с раундом, держите в курсе".

А вы что думаете? Стали аккуратнее смотреть в код, после того как vibe-coding стал нормой? Или продолжаете на скорости и YOLO?

Подписывайтесь на Telegram Венчур по Понятиям | Street MBA.

Начать дискуссию