Разработчики теряют контроль над кодом, созданным ИИ — мнение экспертов

Как и в случае с открытым исходным кодом, использование фрагментов, созданных ИИ, экономит время, но создает невидимую зону риска. Алгоритмы, обученные на старом и уязвимом программном обеспечении, способны повторно внедрять ошибки и уязвимости, давно известные индустрии.

«ИИ сам себе враг, — говорит Алекс Зенла, технический директор облачной компании Edera. — Он воспроизводит те же уязвимости, на которых был обучен, и создает новые».

Исследователи компании Checkmarx отмечают, что вайб-кодинг усложняет контроль качества: одна и та же LLM-модель может генерировать разные варианты кода для одной задачи, что делает итоговый продукт менее предсказуемым и труднее поддающимся проверке.

В их опросе треть руководителей в сфере кибербезопасности признала, что в 2024 году более 60% корпоративного кода уже создавалось ИИ, но лишь 18% компаний имели утвержденный список разрешенных инструментов.

Главная проблема, по мнению экспертов, — исчезновение прозрачности и ответственности, которые существовали в open source. «В GitHub вы видите коммиты, обсуждения, можете отследить автора. В вайб-кодинге ничего этого нет — код просто появляется», — говорит Дэн Фернандес, глава направления ИИ в Edera. Это значительно усложняет аудит и отслеживание источника потенциальных уязвимостей.

Помимо корпоративных рисков, специалисты предупреждают, что наибольший удар может прийтись по малым бизнесам и уязвимым сообществам, которые используют ИИ-инструменты из-за их дешевизны и простоты. «Для них это способ быстро создать продукт, но и путь к катастрофическим утечкам данных», — отмечает Зенла.

По словам бывшего хакера Агентства национальной безопасности США Джейка Уильямса, сегодня ИИ-код уже активно внедряется в корпоративные продукты — и отрасли предстоит либо извлечь уроки из ошибок, либо повторить их с еще большими последствиями. «Если мы не научимся управлять безопасностью ИИ-кода, — говорит он, — все просто рухнет. И это будет больно».