Аппетит к риску

Рынок разработки программного обеспечения (ПО) переживает фундаментальный сдвиг. Вайб-кодинг, когда человек ставит задачу, а код пишут ИИ-агенты, еще год назад казался модным экспериментом, а сегодня стал корпоративным стандартом. Бизнес уже закладывает показатели эффективности по использованию ИИ-технологий в технические задания, ожидая существенного сокращения времени выхода готового продукта. Впрочем, значительное ускорение процесса разработки имеет и оборотную сторону в виде роста числа уязвимостей в коде, проверять которые долго и дорого. Отрасль ищет эффективные и безопасные способы применения новых ИИ-инструментов.

Новая промышленная норма

Согласно исследованию «Б1», сегмент заказной разработки будет одним из ключевых драйверов рынка ПО на горизонте до 2032 г. В 2024 г. объем рынка заказной разработки и IТ-услуг составил 150 млрд руб. (14% от общего объема рынка ПО и IТ-услуг). К 2028 г. объем сегмента вырастет до 280 млрд руб.

Аналитики подсчитали, что в 2025 г. более 70% новых корпоративных приложений создавалось с использованием low-code/no-code (технологии создания ПО, которые позволяют не погружаться в код или обходиться без него) и генеративного ИИ. Более того, 87% корпоративных IТ-разработчиков уже используют платформы разработки low-code/no-code для части своих разработок.

Переход от экспериментов к системному внедрению заметен в крупных технологических компаниях, финтехе, ритейле, подтверждает общую тенденцию руководитель отдела развития бизнеса ПО Solar appScreener Владимир Высоцкий.

«Главное, что дает ИИ бизнесу, – ускорение разработки. При этом меняется и структура спроса на специалистов: снижается потребность в младших разработчиках, которые пишут относительно простой код, и одновременно растет спрос на высококлассных аналитиков и архитекторов, способных грамотно ставить задачи машине. Качество сгенерированного кода напрямую зависит от качества и детализации технического задания», – объясняет он.

Наибольшую практическую ценность в разработке ИИ показал в архитектурном анализе, код-ревью, работе с технической документацией и внутренними базами знаний, перечисляет результаты пилотного проекта по тестированию российских LLM Алексей Сидорюк, советник генерального директора по ИИ Ассоциации «ФинТех». «Пилот подтвердил, что наибольший эффект сегодня дают сценарии, где ИИ усиливает сотрудников, снимает рутину и упрощает их работу, а не полностью заменяет их», – добавляет эксперт.

Примеры компаний это подтверждают. Внутренние тесты IT-холдинга Т1 показали, что ИИ повышает эффективность цикла разработки на 20%, говорит Сергей Голицын, руководитель направления ИИ. В Faberlic, по словам Вадима Смирнова, директора по информационной безопасности, ИИ помогает отсеивать ложноположительные срабатывания сканеров и облегчает работу первой линии центров мониторинга информационной безопасности (SOC). Кирилл Мякишев, директор по информационной безопасности Ozon, отмечает, что в компании технологии машинного обучения используются для автоматизации рутинных процессов и построения мониторингов. В «СберТехе», по словам генерального директора Максима Тятюшева, интеграция ИИ-агентов в процессы анализа кода сократила время проверки с пяти дней до нескольких часов, улучшив качество классификации ошибок на 70%, а предложений по исправлению – на 54%.

Логика вайб-кодинга (vibe-coding) может работать, только если она «приручена» процессом: через усиление тестирования, обязательную проверку кода и использование ассистента как инструмента ускорения онбординга, когда новым специалистам нужно быстрее разобраться в системе, подчеркивает Алексей Кононов, руководитель направления разработки BPMSoft (IТ-холдинг Lansoft). «В идеале это дает ощутимую экономию времени – 15–20%, – которую можно

направить на то, что обычно годами «висит в хвосте»: рефакторинг, снижение техдолга, повышение надежности и освоение новых технологий», − отмечает он.

Цена ускорения

Исследование Veracode показало, что в среднем в 45% случаев ИИ-сгенерированный код содержит уязвимости из списка ассоциации безопасного интернета OWASP Top 100, а в Java – даже до 72%.

При этом «уязвимости здесь не какие-то специфичные, а вполне классические, просто они оказываются глубоко спрятаны в массе кода, который никто досконально не понимает», подчеркивает Высоцкий.

«ИИ-модели могут галлюцинировать – предлагать код, который выглядит правдоподобно, но на деле содержит логические ошибки или уязвимости», – добавляет он.

По словам Александра Товстолипа, руководителя управления информационной безопасности Ассоциации «ФинТех», это ошибки контроля доступа, особенно опасные для программных интерфейсов (API) платежных сервисов, инъекции (SQL/NoSQL/Template injection), небезопасная работа с персональными данными и секретами, нарушение бизнес-логики транзакций. «По нашим наблюдениям и по открытым исследованиям, доля небезопасных фрагментов в ИИ-сгенерированном коде может составлять от 20 до 40%, если код принимается без дополнительной проверки», – отмечает эксперт.

По словам Сергея Щербакова, технического директора компании «Стахановец», доля кода, который нуждается в доработке после проверки, увеличилась на 20–25%, из-за того что младшие специалисты склонны доверять сгенерированному «красивому» варианту.

Расширение применения low-code/now-code платформ может спровоцировать появление нового класса угроз. «Если на low-code платформе создается микросервис, который использует автоматические обращения к инфраструктуре, это открывает дополнительный вектор атаки на внутренние ресурсы», – приводит пример Кононов.

Бутылочное горлышко

Классические инструменты проверки (SAST/DAST), которые ищут уязвимости по шаблонам, часто оказываются бессильны перед кодом, сгенерированным нейросетями. Как объясняет Товстолип, эти инструменты видят синтаксис, но не понимают бизнес-контекст и, например, «могут не заметить, что API позволяет получить чужие транзакции при корректном токене». Усугубляет ситуацию и эффект «машинного одобрения», о котором предупреждает Высоцкий: машина может посчитать код, сгенерированный другой машиной, корректным, даже если он содержит ошибки. «Если ИИ генерирует огромные, запутанные фрагменты, то, даже если инструмент найдет потенциальные проблемы, разобраться в них и подтвердить их наличие человеку будет очень сложно», – подчеркивает он.

Особую остроту эта проблема приобретает для предприятий критической информационной инфраструктуры. Павел Гриневич, технический директор ГК «Цифра», подчеркивает, что в индустриальном ПО цена ошибки измеряется простоем производства и технологическими рисками. Юрий Тюрин, технический директор MD Audit (ГК Softline), проводит «красную черту» там, где отсутствие независимой проверки или ошибка может привести к физическому, финансовому или инфраструктурному ущербу: «Алгоритмы управления промышленным оборудованием, обработка транзакций или компоненты аутентификации требуют максимального контроля». Сергей Кривошеин, директор центра разработки и тестирования NGR Softlab, занимает еще более жесткую позицию, заявляя, что с учетом принципа нулевого доверия использовать ИИ для генерации кода в критичных системах недопустимо, даже если кто-то этот код перепроверяет.

Именно перепроверка становится бутылочным горлышком в разработке с применением ИИ. Как отмечает Александр Диденко, руководитель Лаборатории искусственного интеллекта Центра коммуникаций и цифровых решений Школы управления «Сколково», выигрыш от скорости разработки быстро компенсируется затратами времени на проверку кода. Щербаков из «Стахановца» описывает это на примере из практики: «Разработчик средней квалификации в финтехстартапе за два дня создал с помощью ИИ микросервис, однако руководителю группы потребовалось три дня на проверку и полную переработку логики финансовых транзакций, потому что ИИ не учел требования регулятора. Выигрыш во времени был полностью обнулен».

По данным внутренней аналитики за 2025 г. и начало 2026 г. «Трайв технолоджис», которую приводит исполнительный директор компании Эльмаз Аджиблаева, «экономия времени и денег практически не видна, так как коды младших (junior) и средних (middle) разработчиков ежедневно проверяются тимлидами или наставниками».

Дефицит квалифицированных кадров также усиливает эффект бутылочного горлышка. Эксперты HeadHunter отмечают, что рынок признал роль информационной безопасности (ИБ) на ранних этапах разработки и сформировал спрос на специалистов, понимающих и код, и инфраструктуру, и безопасность одновременно. «Однако таких узких экспертов мало: доля вакансий AppSec-специалистов составляет 4,8% среди вакансий в ИБ, а доля резюме – 1,5% от общего числа опубликованных профилей ИБ-профессионалов. Индекс конкуренции низкий, так как соотношение вакансий и резюме означает острейший дефицит кадров – менее 1 кандидата на вакансию при норме 5–6 кандидатов», − подчеркивает Татьяна Фомина, директор по информационным технологиям и кибербезопасности HeadHunter.

Безопасность по умолчанию

Поскольку разработка масштабируется за счет low-code и ИИ, полагаться на ручные проверки как на основную защиту уже нельзя, солидарны эксперты. Чтобы выстроить надежный контур, нужно ориентироваться на три принципа, уверен Высоцкий. «Первый – по возможности использовать локальные, а не публичные языковые модели, чтобы снизить риск утечек. Второй – внедрить практику максимальной декомпозиции: дробить большие задачи на маленькие и четко сформулированные. Это повышает качество и читаемость кода. Третий – тщательно документировать и сами запросы к ИИ, и правила работы с ним», – перечисляет он. Также нужны инструменты, которые будут проверять код «на лету», и выделенные специалисты, которые будут отвечать за анализ результатов и помогать разработчикам исправлять ошибки, добавляет эксперт.

По такому пути идет, например, ГК «Магнит». По словам Олега Лалаева, руководителя управления по безопасности данных и инфраструктуры, в «Магните» ИИ рассматривают как естественное расширение существующей DevSecOps-модели, а не как отдельный параллельный процесс. Все базовые принципы, которые применяются к любому коду, точно так же работают и для того, что сгенерировала нейросеть. «Статическое и динамическое сканирование кода на уязвимости, контроль зависимостей, безопасная работа с секретами и контейнерами уже применимы и к ИИ-сгенерированным артефактам и встроены в автоматическую цепочку сборки и обновления продуктов (CI/CD)», – рассказывает Лалаев.

Следующие несколько лет, по прогнозам экспертов, станут временем мультиагентных систем для полного цикла разработки. В «СберТехе» ИИ-агенты (классификатор, разработчик, ревьюер) уже работают внутри производственного конвейера как полноценные сотрудники, взаимодействуя друг с другом. «Таким образом, весь код, который попадает в промышленные системы, проходит через конвейер безопасной разработки», – говорит Тятюшев.

«Солар», в свою очередь, внедрил ИИ-плагин в состав платформы для безопасности кода Solar appScreener. Он автоматизирует самые трудоемкие и рутинные операции, которыми на масштабных софтверных проектах занимаются до 10 appSec-инженеров, ускоряет процессы безопасной разработки и вывода приложения в эксплуатацию.

В любом случае весь ИИ-сгенерированный код должен проходить через тот же конвейер контроля, что и написанный человеком, уверен Высоцкий: «Это композиционный анализ (OSA) для проверки сторонних библиотек, статический (SAST) и динамический (DAST) анализ. Доверяй, но проверяй – этот принцип здесь работает как нельзя лучше», – резюмирует он. &