IT технологии

Как ИИ-кодирование превращает безопасность компаний в рулетку 🎯

Уязвимости, наблюдаемые в ИИ-сгенерированном коде. Масштабы проблемы в цифрах

4 недели тому назад
91
1 0
58 / 100 SEO оценка

В современном мире многие компании бросились использовать искусственный интеллект для автоматической генерации программного кода. Но за скоростью порой скрывается серьёзная уязвимость: исследования показывают, что код, сформированный ИИ, содержит в 20 раз больше дефектов, чем вручную написанный специалистом. Это порождает масштабные проблемы для бизнеса, особенно в условиях цифровой трансформации и растущих киберугроз.

Вайб-кодинг: автоматизация разработки и её тёмная сторона

Термин «вайб-кодинг» (vibe coding) описывает метод, когда разработчик формулирует задачи на человеческом языке (например, “сделай форму входа, проверку пароля и сессии”), а нейросеть на основе большой языковой модели (LLM) переводит эту задачу в исходный код. Теоретически это ускоряет разработку, особенно для шаблонных компонентов. На практике же этот подход часто обходит важные аспекты надёжности и безопасности.

Типичные уязвимости, наблюдаемые в ИИ-сгенерированном коде:

  • отсутствие тщательной валидации и фильтрации вводимых данных;
  • ошибки в механизмах авторизации и разграничения прав;
  • публично раскрытые секреты и ключи в репозиториях;
  • слабая логика обработки бизнес-сценариев и исключительных случаев;
  • привычка к шаблонным решениям без учёта контекста проекта.

По наблюдениям экспертов, большинство таких систем страдает от нехватки продуманной обработки ошибок и граничных ситуаций. Зачастую код “работает” для типичных сценариев, но рушится под нестандартной нагрузкой или при неожиданном вводе.

Почему малый и средний бизнес особенно уязвим

Стартапы и предприятия среднего звена часто испытывают давление времени: нужно быстро запускать функции и интерфейсы, не дожидаясь долгого ручного кодирования и множества ревизий. Контроль качества, аудит безопасности и стандарты могут отставать, что создаёт лазейки для атак. А бюджет на ИБ (информационную безопасность) часто ограничен.

Ошибки, появляющиеся в ИИ-коде, могут не влиять напрямую на работоспособность системы, но использоваться злоумышленниками в качестве точки входа — эксплойты, удалённое выполнение команд, обход механизмов защиты.

Масштабы проблемы в цифрах

Практика показывает, что почти 89 % отечественных компаний используют ПО с уязвимостями, которые потенциально могут привести к проникновению в локальные сети или утечке чувствительных данных. При этом в третьем квартале 2025 года уровень обнаруженных уязвимостей в отечественных приложениях вырос до порядка 6000 инцидентов, что на 27 % больше по сравнению с тем же периодом предыдущего года.

Сейчас 8–10 % всех строк кода в системах российских организаций генерируется при помощи ИИ. По прогнозам, к 2030 году доля такого кода может достигнуть 70 %, особенно в менее ресурсоёмких компонентах — веб-интерфейсы, мобильные части, вспомогательные сервисы.

Проблема ещё усугубляется тем, что многие ИИ-системы “придумывают” названия библиотек и модулей: они создают фиктивные зависимости, которые выглядят как настоящие, но не существуют в реальности. Это заставляет разработчиков либо вводить вручную “правильные” библиотеки, либо использовать небезопасные пакеты по имя, что увеличивает риски.

Дипфейки: новая линия атаки

ИИ способен не только писать код, но и генерировать реалистичные видео, аудио и изображения — то есть создавать дипфейки. В России ущерб от таких атак оценивается в **около 17 миллиардов рублей**, по данным экспертов. При этом сотни компаний уже подверглись атакам, и число инцидентов продолжает расти.

За первое полугодие 2025 года 6400 компаний столкнулись хотя бы с одной дипфейк-атака, а всего инцидентов насчитывается порядка **20 000** в отношении средних и крупных предприятий. Повышается и доля публикаций об утечках внутренней документации: теперь это около **40 %**, хотя раньше такие сообщения составляли лишь 15–20 % от всех утечек.

Современные дипфейк-алгоритмы настолько совершенны, что человеку бывает трудно отличить подделку от оригинала. Подмена голоса, лица или голоса руководителя в деловой переписке может стоить компании миллионы, и ещё сильнее ударить по её репутации.

Качество ИИ-кода: средний уровень и как его поднять

Качество кода, формируемого ИИ, часто соответствует уровню начинающего или среднего разработчика. Без контроля и рецензирования такие решения становятся источником проблем. Так считает Фёдор Лежнев, эксперт в области ИТ и безопасности.

Чтобы минимизировать риски, рекомендуется:

  • применять только проверенные библиотеки и фреймворки;
  • использовать автоматические сканеры — SAST (статический анализ), DAST (динамический анализ);
  • обеспечивать обязательный ручной code review перед выпуском;
  • использовать ИИ-инструменты только в строгих внутренних контурах;
  • обучать сотрудников, повышать осведомлённость по теме киберугроз.

В компании «Авито» подчёркивают: само по себе ИИ-инструмент не опасен — риск возникает при неправильном его применении без соответствующей экспертизы. Для компаний, работающих с конфиденциальной информацией, безопаснее запускать модели в корпоративном окружении, чтобы избежать несанкционированного доступа или утечек.

Чего ждать в будущем и как подготовиться

Рост использования ИИ-кодирования — тренд, и остановить его вряд ли получится. Но ключ — в грамотной архитектуре, безопасной практике и автоматизированном контроле. Компании обязаны внедрять мониторинг безопасности, регулярно прогонять анализ уязвимостей, держать модели ИИ под контролем и развивать культуру “безопасного ИИ”.

Дополнительно полезно развивать направления:

  • этический контроль ИИ — ответственность, прозрачность, справедливость;
  • регуляторные подходы на национальном и международном уровнях;
  • инструменты аудита ИИ-моделей и способы подтверждать их безопасность;
  • образовательные программы для инженеров и менеджеров по теме безопасности ИИ;
  • оценка не только прямого, но и косвенного ущерба — репутационные, доверие клиентов.

ИИ-кодирование даёт потенциал для ускорения работы и экономии ресурсов. Но в отсутствие надлежащего контроля и культуры безопасности оно становится источником гораздо более серьёзных рисков, чем кажется на первый взгляд. Необходимо действовать проактивно — иначе цена ошибки окажется слишком высокой.

Happy
Happy
100 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleepy
Sleepy
0 %
Angry
Angry
0 %
Surprise
Surprise
0 %
124
4 недели тому назад
91

Похожие статьи

Принципы работы сайта iknowwhatyoudownload.com и его последствия его посещения для пользователей

25.09.2024

Каталог Telegram-ботов и каналов 🤖 | Навигатор по лучшим телеграмм-сообществам

2 недели тому назад

Что происходит, когда вы вводите URL-адрес в браузере? Путь от запроса до страницы

29.12.2024

использование Cloudflare — повышение безопасности, производительности, надежности и стабильности веб-сайтов

21.06.2023
Кнопка «Наверх»