ИИ-код: 25% систем под угрозой, ответственность не определена
Исследование показывает, что 25% кода в производственных системах компаний США и Европы генерируется ИИ-инструментами, при этом 70% специалистов отмечают появление новых уязвимостей в таких решениях. В 50% случаев вину за инциденты с ИИ-кодом возлагают на безопасность, несмотря на отсутствие её участия в проверке, что создаёт неопределённость в распределении ответственности между разработчиками и юридическими отделами.
По данным исследования Aikido Security, 25% кода в производственных системах компаний США и Европы формируется с помощью ИИ-инструментов. Среди 450 опрошенных специалистов — разработчики, инженеры по безопасности и руководители отделов — 70% отметили появление новых уязвимостей в таких решениях. При этом 90% респондентов уверены, что ИИ в будущем будет создавать безопасный код, но только 15% считают это возможным без участия человека.
Расхождение между ожиданиями и реальностью становится проблемой для безопасности. Основная сложность — отсутствие четких правил ответственности при инцидентах, связанных с ИИ-кодом. Более половины участников опроса указали, что вину за утечку данных в таких случаях возлагают на безопасность, несмотря на то, что код не проходил их проверку. Mike Wilkes, CISO Aikido Security, подчеркивает: «Когда ИИ-код становится причиной утечки, невозможно определить, кто несет ответственность — разработчик, который его интегрировал, или юридический отдел. Это создает рисковую ловушку».
Распространение многофункциональных стеков безопасности приводит к росту инцидентов. Компании, использующие широкий набор инструментов, чаще сталкиваются с утечками. Каждый новый продукт увеличивает количество ложных срабатываний и задержек в реагировании. Работники потратили по несколько часов в неделю на фильтрацию ложных уведомлений, что снижает эффективность и увеличивает затраты.
| Регион | Уровень использования ИИ | Доля инцидентов | Стратегия |
|---|---|---|---|
| США | 30% | 45% | Активное внедрение |
| Европа | 15% | 20% | Контролируемое развитие |
Разработчики становятся ключевым звеном в обеспечении безопасности. Команды, использующие инструменты, одновременно подходящие для разработки и безопасности, сообщают о 30% меньшем количестве инцидентов и на 50% более быстром устранении уязвимостей. При этом потеря даже одного специалиста с критичными знаниями может привести к серьезным пробелам в защите.
Интересно: Как изменится распределение ответственности между ИИ, разработчиками и юридическими отделами, если инциденты, вызванные автоматически сгенерированным кодом, станут систематическими?
Когда ИИ пишет код: баланс между инновациями и безопасностью
Рост ответственности за «чужой» код
Современные компании сталкиваются с парадоксом: внедряя ИИ-инструменты для автоматизации разработки, они получают код, за который формально несут ответственность, несмотря на отсутствие участия в его создании. Это создает юридический и технический «вакуум», где 70% специалистов фиксируют появление новых уязвимостей, но только 15% готовы признать необходимость человеческого контроля.
Важный нюанс: Регуляторы пока не создали четких правил распределения ответственности между разработчиками ИИ, интеграторами и юридическими отделами. Это приводит к ситуации, когда компании, внедряющие ИИ-код, рискуют понести штрафы за утечки, которые технически не могли предотвратить.
Сложность масштабирования безопасности
Рост числа инструментов в стеке безопасности (в США их уже 30% компаний используют активно) приводит к обратному эффекту: вместо снижения рисков — их увеличению. Каждый новый продукт добавляет 20–30% ложных срабатываний, что требует дополнительных часов на фильтрацию. Это не только удорожает процессы, но и снижает оперативность реагирования — критичный фактор в кибератаках.
Важный нюанс: Компании, которые интегрируют ИИ-инструменты с системами безопасности (например, автоматически проверяют сгенерированный код на уязвимости), снижают инциденты на 30% и ускоряют устранение проблем вдвое. Это показывает, что проблема не в самой автоматизации, а в подходе к её внедрению.
Российский сценарий: выбор между скоростью и контролем
Для российских компаний, где рынок ИИ-инструментов пока менее зрел, ключевым риском станет зависимость от зарубежных решений. При этом локальные разработчики уже сейчас сталкиваются с дилеммой: использовать зарубежные ИИ-платформы для ускорения разработки или создавать собственные, но менее эффективные инструменты.
В краткосрочной перспективе оптимальным решением станет гибридный подход — использование ИИ-инструментов с обязательной двухэтапной проверкой кода (автоматической и ручной). В долгосрочной — инвестиции в локальные ИИ-проекты с акцентом на безопасность.
Важный нюанс: В условиях роста ИИ-автоматизации разработки, ключевым вопросом станет не технологическое превосходство, а создание стандартов ответственности. Компании, которые начнут сейчас формировать эти стандарты, получат стратегическое преимущество в 2025–2026 годах.
Новые риски и возможности: ИИ как инструмент и угроза
Современные ИИ-модели, такие как Gemini 2.5, GPT-4 и GPT-5, демонстрируют высокую эффективность в программировании, включая решение задач уровня чемпионата мира ICPC. Однако их же технологии используются злоумышленниками для создания вредоносных программ, что увеличивает число угроз в генерировании. Анализ 150 тыс. образцов показал, что большинство из них предназначены для кражи данных браузеров, что подчеркивает двойственную природу ИИ-инструментов [!].
89% компаний не получили ожидаемой от ИИ ценности, несмотря на увеличение инвестиций. Основные барьеры — высокие затраты на внедрение, проблемы с приватностью данных и сложности интеграции. Это указывает на необходимость пересмотра стратегий внедрения, включая централизованное управление агентами ИИ для минимизации рисков утечек данных [!].
Перспективы регулирования и стандартов
Администрация США представила план развития ИИ с акцентом на «безопасность по умолчанию», что может стать ориентиром для других стран. Однако эксперты отмечают необходимость более детальных мер защиты базовых систем [!]. В России, где регулирование ИИ находится на ранних этапах, компании должны самостоятельно разрабатывать внутренние стандарты, учитывая как возможности, так и риски автоматизации.
Стратегическое решение: Внедрение принципов нулевого доверия и усиление систем управления угрозами позволяет снизить вероятность пропуска критических инцидентов. Это особенно важно, учитывая рост масштаба и сложности атак, включая комбинации фишинга и скрытых вторжений [!].
Заключение
Развитие ИИ в разработке кода требует баланса между инновациями и контролем. Компании, которые смогут интегрировать автоматизацию с ручным контролем, внедрить централизованное управление агентами ИИ и адаптировать стандарты безопасности, получат преимущество в условиях быстро меняющейся угрозы. Для российских организаций ключевым станет сокращение зависимости от зарубежных решений и усиление локальных ИИ-проектов.
