Программное обеспечение, разработанное с использованием искусственного интеллекта, содержит в 15 раз больше уязвимостей по сравнению с кодом, написанным вручную. К такому выводу пришли специалисты Центра мониторинга и противодействия кибератакам компании «Информзащита». По их оценкам, стремительное распространение технологии вайб-кодинга уже стало причиной серьёзного роста киберрисков для бизнеса в России.
Вайб-кодинг — это способ разработки, при котором программист формулирует задачу на естественном языке, а нейросеть самостоятельно генерирует программный код. В большинстве случаев такие решения строятся на базе больших языковых моделей (LLM), которые ускоряют создание типовых интерфейсов и упрощают написание рутинных модулей. Однако при этом безопасность оказывается за пределами приоритетов, что приводит к системным уязвимостям.
По отчёту «Информзащиты», за 2025 год количество уязвимостей, связанных с использованием ИИ в разработке, выросло почти на 30%. Наиболее частые проблемы — отсутствие фильтрации пользовательского ввода (обнаружено в 76% случаев), некорректная авторизация (52%), наличие чувствительных данных в открытых репозиториях (39%). Более того, в 80% ИИ-сгенерированных решений выявлены критические сбои в бизнес-логике, которые могут нарушить работу сервисов и привести к прямым убыткам.
Отдельную тревогу у специалистов вызывает тот факт, что ИИ способен воссоздавать небезопасные или устаревшие практики программирования. При этом базовые задачи, вроде отображения интерфейса или выполнения команд, выполняются корректно, а нестандартные сценарии и исключения — игнорируются. Это создаёт иллюзию стабильности, хотя на деле открывает хакерам широкие возможности для атак.
Как пояснил руководитель направления анализа защищённости IZ:SOC компании «Информзащита» Анатолий Песковский, особенно уязвимыми остаются стартапы, малые и средние предприятия. В этих сегментах скорость внедрения новых технологий часто опережает выстраивание процессов контроля, а бюджеты на информационную защиту ограничены. В результате создаются приложения, которые технически работают, но фактически становятся точкой входа для киберпреступников.
По словам Анатолия Песковского, такие уязвимости не всегда сказываются на функциональности, но позволяют злоумышленникам проникать в инфраструктуру компании, извлекая из системы данные или вмешиваясь в бизнес-процессы. Распространение практик вайб-кодинга и вайб-тестинга (тестирования с помощью ИИ) вызывает всё большее беспокойство у профессионального сообщества, поскольку автоматизация разработки без контроля над безопасностью усиливает нагрузку на ИБ-подразделения.