По мере того, как ИИ-инструменты все активнее внедряются в процессы разработки, исследователи бьют тревогу: автоматизация кодирования может приводить не к повышению безопасности, а к ее системному ослаблению.

Исследование компании Apiiro показало, что хотя ИИ-ассистенты успешно сокращают количество поверхностных ошибок (например, синтаксических), они одновременно усиливают более опасные, структурные уязвимости. К ним относятся ошибки в архитектуре приложений, небезопасные схемы авторизации, утечки секретов и ошибки конфигурации облачных сред.

Искусственный интеллект не умеет думать о привилегиях, безопасной архитектуре или нюансах соответствия требованиям. Он просто генерирует программный код. Особую озабоченность вызывает феномен так называемых «теневых инженеров» – сотрудников, которые не имеют достаточной подготовки в области информационной безопасности, но в состоянии писать рабочий код с помощью ИИ. Они не осознают, что участвуют в жизненном цикле разработки ПО, и часто пренебрегают критически важными проверками.

Еще одна проблема связана с объемом и сложностью изменений, генерируемых ИИ. Вместо локальных изменений вооруженные ИИ разработчики все чаще инициируют гигантские обновления, затрагивающие сотни файлов и микросервисов. Это перегружает сотрудников, анализирующих код, снижает качество проверки и расширяет круг рисков при каждом таком обновлении.

По данным Apiiro, к июню 2025 года количество новых уязвимостей, связанных с генерацией программного кода при помощи ИИ, за полгода выросло в исследуемых репозитариях в 10 раз и достигло 10 тыс. в месяц.

Впрочем, с таким масштабом проблем согласны не все эксперты. Джефф Уильямс из Contrast Security ссылается на другие исследования, согласно которым прирост скорости разработки составляет всего 10%, а уровень уязвимостей в ИИ-коде сопоставим с человеческим. Как бы то ни было, большинство специалистов сходятся в одном: ИИ – это инструмент, а не освобождение разработчика от ответственности.

Как снизить риски? Эксперты предлагают комплексный подход.

— Интегрировать средства безопасности непосредственно в ИИ-ассистентов, используя, например, серверы MCP (model context protocol).

— Ограничивать объем изменений, генерируемых с помощью искусственного интеллекта, в зависимости от проекта, с тем чтобы обновления оставались управляемыми.

— Использовать автоматизированные проверки (SAST, SCA, сканеры секретов) непосредственно в конвейерах CI/CD.

— Осуществлять предварительный аудит сгенерированного кода с помощью агентного ИИ.

— Обучать разработчиков безопасному применению ИИ-инструментов.

ИИ может стать мощным ускорителем, но только при условии сохранения строгой системы контроля, прозрачности и ответственности человека. В эпоху повышения темпов разработки безопасность не должна быть компромиссом. Благодаря эффективному управлению, автоматизированному надзору и подотчетности персонала организации могут использовать скорость ИИ, не увеличивая уязвимости.