Вайб-кодинг, использующий промпты на естественном языке и агентов искусственного интеллекта для генерации ПО, ускоряет разработку, но опережает возможности обеспечения безопасности кода, пишет на портале InformationWeek Сарит Тагер, вице-президент Palo Alto Networks по управлению продуктами.

Разработка ПО претерпевает фундаментальный сдвиг в сторону так называемого «вайб-кодинга», когда разработчики отказываются от детального, ручного процесса написания кода и вместо этого используют промпты на естественном языке для описания желаемого результата.

Они задают «вайбы», а агенты ИИ генерируют исполняемый код.

Для организаций или команд, которым необходимо работать быстро, возможность запрашивать создание функции невероятно привлекательна. Однако, согласно исследовательскому отчету «The State of Cloud Security Report 2025», подготовленному Wakefield Research по заказу Palo Alto Networks, этот всплеск разработки с использованием ИИ создает огромную проблему в плане безопасности. Хотя компании выпускают код быстрее, чем когда-либо, они также ускоряют накопление технического долга и критических пробелов в безопасности.

Парадокс производительности

Отчет выявляет серьезный разрыв в том, как сегодня создается ПО. Хотя помощь ИИ позволила 53% из 2800 опрошенных ИТ-специалистов доставлять код еженедельно или быстрее, процессы обеспечения безопасности не успевают за этой новой скоростью. Фактически, только 18% организаций сообщают о возможности устранять уязвимости безопасности с такой скоростью. По сути, мы движемся быстрее, чем можем защитить себя.

Вайб-кодинг значительно упрощает создание сложного ПО, но это часто достигается за счет понимания. Когда разработчик полагается на ИИ для генерации кода, он может внедрять логику, которую он лично не проверял. Если вы не полностью понимаете, как работает код, невозможно нести истинную ответственность за его безопасность, и это усложняет устранение проблем в будущем. Отсутствие контроля уже негативно сказывается на качестве кода, приводя к созданию более громоздкого и менее эффективного ПО.

ИИ: новая основная поверхность атаки

Риски непроверенных ИИ-результатов теперь стали реальностью. В отчете говорится, что 99% организаций сталкивались с атаками на системы ИИ за последний год. Предоставляя агентам ИИ возможность писать код, мы одновременно расширяем поверхность атаки тремя критически важными способами:

  1. Рост числа API. Поскольку агенты ИИ в значительной степени полагаются на API для подключения и выполнения задач, число атак на API выросло на 41%. Вайб-кодинг часто создает «теневые API» с установленными ИИ соединениями, о существовании которых разработчик может даже не подозревать.
  2. Инъекция промптов и автономность. Предоставление агенту ИИ возможности самостоятельно редактировать файлы или загружать программные библиотеки — это огромный риск для безопасности. Если злоумышленник обманет ИИ с помощью вредоносного промпта, эта независимость обернется против ИИ, и он сам фактически станет инструментом для хакера, позволяющим ему перемещаться по вашим системам.
  3. Цепочка поставок ИИ. Сгенерированный ИИ код часто опирается на Open Source-библиотеки. Если эти зависимости не проходят тщательную проверку, организации рискуют получить в наследство устаревшие или вредоносные пакеты. Что еще опаснее, ИИ может галлюцинировать, порождая несуществующие имена пакетов. Злоумышленники теперь практикуют «слоупсквоттинг» («slopsquatting»), то есть регистрацию этих вымышленных имен в общедоступных репозиториях, чтобы гарантировать, что их вредоносный код будет использован ничего не подозревающими агентами ИИ.
  4. Раскрытая интеллектуальная собственность. Вайб-кодинг часто включает в себя отправку собственной логики сторонним моделям. Без защищенной платформы самая ценная интеллектуальная собственность вашей компании фактически переходит в общественное достояние, где ее можно использовать для обучения будущих моделей.

От кодера к «лидеру ИИ-команды»

Чтобы выжить в эпоху вайб-кодинга, роль старшего инженера должна эволюционировать. Мы наблюдаем рост роли лидера ИИ-команды. В этой модели ценность инженера смещается от объема кода, который он лично пишет, к стратегическому надзору за всей экосистемой агентов ИИ. Речь идет не о том, чтобы люди вручную проверяли каждую строку кода, сгенерированного ИИ, а о развертывании агентов безопасности для наблюдения за кодирующими агентами.

В этой модели безопасности «агент-агент» лидер-человек устанавливает ограничения и общие цели, в то время как автономные агенты безопасности выполняют основную работу. Это включает в себя проверку в реальном времени, автоматическое устранение неполадок и контекстное управление.

Путь к инженерии доверия

Среди специалистов по безопасности существует консенсус: вайб-кодинга недостаточно. Согласно отчету, 97% организаций отдают приоритет консолидации своей облачной инфраструктуры безопасности, чтобы устранить пробелы, созданные фрагментированными инструментами.

Скорость без безопасности опасна. Чтобы раскрыть истинный потенциал производительности, обеспечиваемой ИИ, предприятиям необходимо выйти за рамки вайб-кодинга и перейти к инженерии доверия. Это означает:

  • Введение обязательного тщательного сканирования: код, сгенерированный ИИ, должен проверяться с той же (или большей) тщательностью, что и код, написанный человеком.
  • Консолидация платформ: переход от множества различных инструментов безопасности к единой платформе «код-облако».
  • Определение ответственности: обеспечение того, чтобы за целостность каждой строки кода, написанной или вайб-сгенерированной, отвечал человек.

Будущее облачных технологий создается ИИ, но управлять им должны люди. Если мы продолжим отдавать приоритет «вайбингу» для быстрых инноваций, а не реальности безопасной разработки, мы будем не просто создавать приложения; мы будем создавать уязвимости безопасности.