Пишите код с помощью ИИ? Поздравляем, вы научили ИИ писать трояны лучше хакеров
NewsMaker«Вайб-кодинг» — новая головная боль тимлидов и безопасников.
В программировании появилась новая привычка, быстро превращающаяся в проблему для всей индустрии. Так называемый вайб-кодинг — практика, при которой разработчики создают программные решения с помощью генеративных ИИ, адаптируя готовые фрагменты вместо того, чтобы писать их вручную, — становится массовой. Этот подход обещает экономию времени и ресурсов, но взамен создаёт новые угрозы безопасности, которые уже начинают сказываться на реальных продуктах и сервисах.
Ранее программисты ускоряли разработку за счёт библиотек и готовых компонентов с открытым исходным кодом. Это позволило сосредоточиться на логике и интерфейсах, но привело к росту числа уязвимостей, поскольку не все библиотеки поддерживаются или проверяются должным образом. С появлением ИИ-генерации ситуация изменилась лишь внешне — вместо того чтобы импортировать сторонний пакет, теперь достаточно ввести запрос, и модель создаст блок кода под задачу. Однако внутренний риск остался прежним: разработчик получает результат, не всегда понимая, откуда взялись строки, на которых потом будет строиться его продукт.
По данным Checkmarx, к концу 2024 года около 60% корпоративного кода уже создавалось при помощи ИИ. При этом только 18% компаний имели утверждённый перечень инструментов для подобной работы. Исследователи указывают, что в результате стираются границы ответственности: становится непонятно, кто является автором конкретного решения, проходил ли этот код аудит и соответствует ли он стандартам безопасности. В отличие от репозиториев вроде GitHub, где можно отследить коммиты, сгенерированные нейросетью строки не имеют истории происхождения и авторства.
Проблему усугубляет ещё один фактор — обучение ИИ на старых или уязвимых проектах. Если модель впитывает код с известными ошибками, она воспроизводит те же дефекты в новых проектах. Это создаёт замкнутый цикл, когда одна и та же уязвимость кочует из поколения в поколение алгоритмов. Кроме того, разные участники команды, используя одну и ту же модель, получают слегка отличающиеся варианты решений, что затрудняет последующую проверку и сопровождение систем.
Специалисты отметили, что непрозрачность и фрагментированность ИИ-кода разрушает традиционные механизмы контроля, существовавшие в экосистеме open source. Там ответственность распределялась между участниками, код проходил публичное обсуждение и ревью. В случае же с ИИ эти фильтры практически отсутствуют: большая часть сгенерированных решений попадает в продукт без полноценной валидации. В итоге растёт вероятность скрытых ошибок, которые невозможно выявить стандартными средствами анализа.
Ещё одна сторона вайб-кодинга — иллюзия доступности. Для малого бизнеса и некоммерческих организаций, которым не хватает средств на профессиональную разработку, генеративные инструменты становятся соблазнительным способом быстро получить нужное приложение. Но простота использования оборачивается угрозой: такие продукты нередко выходят в сеть с незащищёнными интерфейсами, неправильной обработкой данных и отсутствием аутентификации. И если крупная компания сможет пережить последствия инцидента, то уязвимость в приложении для социального проекта может привести к катастрофическим последствиям.
Специалисты по безопасности предупреждают, что с окончанием «льготного периода» для ИИ вопрос аудита кода встанет так же остро, как и в своё время для open source. Разработчики должны учитывать это уже сейчас, выстраивая процессы ревизии и внедряя обязательную проверку результатов генерации . Ведь каждый новый слой автоматизации не снимает ответственность с человека — он лишь добавляет непредсказуемости.
В программировании появилась новая привычка, быстро превращающаяся в проблему для всей индустрии. Так называемый вайб-кодинг — практика, при которой разработчики создают программные решения с помощью генеративных ИИ, адаптируя готовые фрагменты вместо того, чтобы писать их вручную, — становится массовой. Этот подход обещает экономию времени и ресурсов, но взамен создаёт новые угрозы безопасности, которые уже начинают сказываться на реальных продуктах и сервисах.
Ранее программисты ускоряли разработку за счёт библиотек и готовых компонентов с открытым исходным кодом. Это позволило сосредоточиться на логике и интерфейсах, но привело к росту числа уязвимостей, поскольку не все библиотеки поддерживаются или проверяются должным образом. С появлением ИИ-генерации ситуация изменилась лишь внешне — вместо того чтобы импортировать сторонний пакет, теперь достаточно ввести запрос, и модель создаст блок кода под задачу. Однако внутренний риск остался прежним: разработчик получает результат, не всегда понимая, откуда взялись строки, на которых потом будет строиться его продукт.
По данным Checkmarx, к концу 2024 года около 60% корпоративного кода уже создавалось при помощи ИИ. При этом только 18% компаний имели утверждённый перечень инструментов для подобной работы. Исследователи указывают, что в результате стираются границы ответственности: становится непонятно, кто является автором конкретного решения, проходил ли этот код аудит и соответствует ли он стандартам безопасности. В отличие от репозиториев вроде GitHub, где можно отследить коммиты, сгенерированные нейросетью строки не имеют истории происхождения и авторства.
Проблему усугубляет ещё один фактор — обучение ИИ на старых или уязвимых проектах. Если модель впитывает код с известными ошибками, она воспроизводит те же дефекты в новых проектах. Это создаёт замкнутый цикл, когда одна и та же уязвимость кочует из поколения в поколение алгоритмов. Кроме того, разные участники команды, используя одну и ту же модель, получают слегка отличающиеся варианты решений, что затрудняет последующую проверку и сопровождение систем.
Специалисты отметили, что непрозрачность и фрагментированность ИИ-кода разрушает традиционные механизмы контроля, существовавшие в экосистеме open source. Там ответственность распределялась между участниками, код проходил публичное обсуждение и ревью. В случае же с ИИ эти фильтры практически отсутствуют: большая часть сгенерированных решений попадает в продукт без полноценной валидации. В итоге растёт вероятность скрытых ошибок, которые невозможно выявить стандартными средствами анализа.
Ещё одна сторона вайб-кодинга — иллюзия доступности. Для малого бизнеса и некоммерческих организаций, которым не хватает средств на профессиональную разработку, генеративные инструменты становятся соблазнительным способом быстро получить нужное приложение. Но простота использования оборачивается угрозой: такие продукты нередко выходят в сеть с незащищёнными интерфейсами, неправильной обработкой данных и отсутствием аутентификации. И если крупная компания сможет пережить последствия инцидента, то уязвимость в приложении для социального проекта может привести к катастрофическим последствиям.
Специалисты по безопасности предупреждают, что с окончанием «льготного периода» для ИИ вопрос аудита кода встанет так же остро, как и в своё время для open source. Разработчики должны учитывать это уже сейчас, выстраивая процессы ревизии и внедряя обязательную проверку результатов генерации . Ведь каждый новый слой автоматизации не снимает ответственность с человека — он лишь добавляет непредсказуемости.