AI-код ускоряет разработку, но рискует уязвимостями

По данным OX Security, внедрение AI в процесс написания кода приводит к ускорению разработки, но одновременно увеличивает риски в области кибербезопасности. В отчёте «Армия стажёров: кризис безопасности в AI-генерируемом коде» отмечается, что автоматизированные инструменты, такие как GitHub Copilot, Cursor и Claude, позволяют создавать приложения за считанные дни, минуя этапы ручного тестирования и аудита. Это создаёт предпосылки для появления систем с критическими уязвимостями, которые остаются незамеченными до момента запуска в производство.

Перегрузка команд безопасности

Анализ более 300 репозиториев показал, что AI-генерированный код не обязательно содержит больше уязвимостей на строку, чем код, написанный вручную. Однако ключевая проблема — масштаб и скорость. Процедуры ручного код-ревью, отладки и межгруппового контроля фактически устранены. Например, проекты, которые ранее требовали месячной работы, теперь могут быть завершены за несколько дней. Это приводит к тому, что уязвимости попадают в production-окружение до того, как специалисты успевают их обнаружить.

Согласно данным, среднее количество активных уведомлений о безопасности в организациях превышает 500 000 единиц. При этом AI-ассистенты ускоряют создание кода, но не обеспечивают соответствующего уровня проверки. Эксперты отмечают, что традиционные методы контроля не справляются с объёмами, генерируемыми автоматизированными инструментами.

Антипаттерны в AI-коде

Отчёт выделяет 10 распространённых антипаттернов, характерных для кода, создаваемого с помощью AI. Среди них:

• Избыточные комментарии (90–100% случаев): AI добавляет пояснения, которые служат ориентиром для работы с ограничениями контекста, но не несут практической пользы.
• Игнорирование рефакторинга (80–90%): в отличие от опытных разработчиков, AI останавливается на «достаточно хорошем» решении, что приводит к накоплению технической задолженности.
• Переопределение (80–90%): инструменты создают узкоспециализированные решения, которые нельзя переиспользовать, увеличивая фрагментацию кода.
• Слепое следование конвенциям (80–90%): AI генерирует «безопасный» код, но редко предлагает оптимизированные или инновационные подходы.

Дополнительные антипаттерны включают возврат к монолитным архитектурам вместо микросервисов, создание «ванильных» решений вместо использования готовых библиотек, завышенное покрытие тестами с низкой полезностью и добавление логики для гипотетических сценариев.

Небезопасность из-за невежества

Особую опасность представляет использование AI-инструментов неспециалистами. Отчёт подчёркивает, что пользователи без знаний в области безопасности могут создавать приложения, в которых отсутствуют базовые меры защиты, такие как аутентификация или шифрование данных. Эксперты называют это «небезопасностью из-за невежества» — функциональный код становится уязвимым из-за отсутствия понимания требований.

Даже опытные разработчики рискуют пропустить проблемы. После запуска приложения команда часто предполагает, что система готова к эксплуатации, игнорируя вопросы, связанные с хранением данных или доступом к интернету. Ручная проверка, которая ранее служила основным методом контроля, не справляется с объёмами, генерируемыми AI.

Рекомендации для безопасности

Специалисты OX Security советуют интегрировать безопасность непосредственно в процессы работы с AI. Это включает:

• Внедрение «инструкций по безопасности» в промпты, чтобы направлять AI на создание более устойчивых решений.
• Настройку архитектурных ограничений и автоматических проверок в средах разработки.
• Переход от реактивного сканирования кода к проактивным мерам, особенно при учёте возможности быстрого переписывания кода.

Стратегический сдвиг для лидеров безопасности

Руководители отделов безопасности должны пересмотреть приоритеты. В условиях ускорения разработки ключевое значение приобретают архитектурные решения, моделирование угроз и оркестрация процессов.

По словам Eyal Paz, вице-президента по исследованиям OX Security, «приложения, которые можно создать быстрее, чем человек успевает их проверить, становятся уязвимыми по умолчанию. Традиционные методы контроля больше не соответствуют масштабу, с которым AI генерирует код».

Интересно: Сможет ли традиционная кибербезопасность, ориентированная на корпоративный периметр, защитить компанию, когда угроза приходит через личный телефон сотрудника?

i

Создано специально для ASECTOR

Концептуальное изображение

Ускорение разработки и рост уязвимостей: как AI меняет правила игры в кибербезопасности

Парадокс продуктивности: чем быстрее код, тем больше рисков

Интеграция ИИ в процесс написания кода приводит к парадоксальной ситуации: сокращение сроков разработки сопровождается ростом вероятности критических уязвимостей. Это связано не с качеством генерируемого кода, а с радикальным сокращением этапов проверки. Проекты, которые раньше требовали месячной работы, теперь создаются за дни. Системы попадают в production-окружение до того, как специалисты успевают провести аудит.

Ключевой проблемой становится масштаб. Традиционные методы контроля (ручной код-ревью, отладка) не справляются с объемами, генерируемыми автоматизированными инструментами. Например, если команда безопасности получает 500 000 уведомлений в месяц, то при ускорении разработки в 10 раз количество потенциальных уязвимостей увеличивается экспоненциально. Это создает эффект «размытой ответственности»: никто не успевает за темпом, и ошибки остаются незамеченными до критического момента.

Антипаттерны как индикаторы системного кризиса

Отчет OX Security выделяет 10 антипаттернов, характерных для AI-кода. Их повторяемость (80–100%) указывает на системные проблемы, а не на случайные ошибки. Например:

• Избыточные комментарии — ИИ добавляет пояснения, которые не улучшают читаемость, а служат техническим обходным путем для ограничений контекста.
• Игнорирование рефакторинга — ИИ останавливается на «достаточно хорошем» решении, что приводит к накоплению технической задолженности.
• Слепое следование конвенциям — генерируется «безопасный», но не оптимальный код.

Эти антипаттерны не только снижают качество кода: они формируют архитектурную инерцию. Компании, использующие AI, рискуют запутаться в решениях, которые сложно переписать или масштабировать. Например, возврат к монолитным архитектурам вместо микросервисов, может обернуться сложностями в дальнейшем управлении системой.

Важный нюанс: ИИ-ассистенты ускоряют разработку, но не решают проблему человеческого фактора. Уязвимости, встроенные на этапе проектирования, требуют системного подхода к обучению и архитектурным решениям.

Небезопасность из-за невежества: новый уровень уязвимостей

Особую опасность представляет использование AI-инструментов неспециалистами. Отчет подчеркивает, что пользователи без знаний в области безопасности создают приложения с базовыми уязвимостями, например, без аутентификации или шифрования. Это явление называется «небезопасностью из-за невежества» — функциональный код становится уязвимым из-за отсутствия понимания требований.

Дополнительный риск усиливается из-за слабой аутентификации в корпоративных системах. Многие компании продолжают использовать устаревшие методы, такие как пароли и SMS-коды, которые легко поддаются атакам [!]. В условиях роста фишинговых атак с применением ИИ, позволяющих создавать убедительные материалы, сотрудники часто не могут отличить сгенерированный текст от ручного. Это создает дополнительные точки входа для злоумышленников.

Важный нюанс: Кибербезопасность перестает быть «последним этапом» — она должна быть встроена в сам процесс генерации кода. Это требует новых инструментов и культуры, где безопасность становится частью разработки, а не ее завершением.

Стратегический сдвиг для лидеров безопасности

Руководители отделов безопасности должны пересмотреть приоритеты. В условиях ускорения разработки ключевое значение приобретают архитектурные решения, моделирование угроз и оркестрация процессов.

Рекомендации OX Security включают:

• Интеграцию «инструкций по безопасности» в промпты для направления ИИ на создание более устойчивых решений.
• Настройку автоматических проверок в средах разработки.
• Переход от реактивного сканирования кода к проактивным мерам.

Важный нюанс: Атаки, основанные на ИИ, происходят в 40 раз быстрее традиционных, что требует внедрения управляемых сред и ранних систем обнаружения [!].

Долгосрочные последствия для рынка

События указывают на формирование новых правил игры:

1. Рост спроса на AI-инструменты с встроенными мерами безопасности. Компании, которые интегрируют проверку кода в генерацию, получат конкурентное преимущество.
2. Переоценка роли специалистов по безопасности. Традиционные методы контроля устаревают, что требует переобучения и адаптации к автоматизированным процессам.
3. Риск фрагментации рынка. Антипаттерны, встроенные в AI-код, могут привести к созданию несовместимых систем, что увеличит затраты на интеграцию.

Для российского бизнеса ключевой задачей станет адаптация стандартов безопасности к новым реалиям. Интеграция ИИ в процессы разработки требует не только технических решений, но и изменения подходов к управлению рисками.

Важный нюанс: Уязвимости в корпоративных системах, таких как SAP, подчеркивают необходимость срочной защиты. Например, уязвимость с оценкой 10 из 10 в платформе NetWeaver позволяет злоумышленникам выполнять произвольный код [!].

Инструменты и инновации: путь к защите

Новые платформы, такие как GitLab Duo Agent Platform, демонстрируют, как автоматизация может помочь в борьбе с рисками. Она позволяет управлять ИИ-агентами на всех этапах жизненного цикла ПО, включая проверку безопасности [!].

Важный нюанс: Несоответствие между развитием ИИ и готовностью систем защиты данных становится критическим. Более 70% специалистов указывают на быстрое развитие экосистемы ИИ как главную угрозу [!].

Заключение

Кибербезопасность в эпоху ИИ требует системного подхода: от автоматизации проверок до пересмотра ролей в командах. Без четкого разделения обязанностей и адаптации инструментов, риски будут расти экспоненциально. Для компаний важно не только внедрять новые технологии, но и формировать культуру, где безопасность становится частью каждого этапа разработки.