Код недоступа: создание ПО с помощью ИИ увеличивает уязвимость компаний в 15 раз

Программы, созданные искусственным интеллектом, имеют в 15 раз больше уязвимостей, чем ПО, разработанное человеком.

Эта технология получила название вайб-кодинг, и эксперты полагают, что на данном этапе вред от нее превышает пользу. Так, количество таких брешей в ИТ-системах российских компаний увеличилось почти на 30% за год. Другой проблемой, угрожающей бизнесу в РФ, стал рост эффективности дипфейков, также создаваемых усилиями искусственного интеллекта. Эксперты оценивают суммарный ущерб от таких атак в 17 млрд рублей.

Что такое вайб-кодинг и чем он опасен

Созданные ИИ программы имеют в 15 раз больше уязвимостей, чем ПО, разработанное человеком, особенно в части проверки ввода и бизнес-логики. Об этом рассказали в Центре мониторинга и противодействия кибератакам компании «Информзащита».

Вайб-кодинг — это подход к разработке, при котором программист задает задачи нейросети на естественном языке, а ИИ переводит их в компьютерный код. На практике чаще всего используются большие языковые модели (LLM), которые ускоряют создание шаблонного кода и интерфейсов, но при этом игнорируют вопросы безопасности.

Специалисты компании отмечают, что наиболее распространенные уязвимости в 90% такого ПО — это отсутствие фильтрации ввода (76%), некорректная авторизация (52%), секреты в открытых репозиториях (39%). Кроме того, более чем в 80% решений фиксируются проблемы с бизнес-логикой, способные приводить к нарушению работы приложений и прямым финансовым потерям. ИИ-модели могут воспроизводить устаревшие и небезопасные паттерны или корректно выполнять базовые задачи, но не обрабатывать исключения и нестандартные процессы.

— Наиболее уязвимы для угроз вайб-кодинга стартапы, малый и средний бизнес. Скорость внедрения новых решений здесь часто опережает развитие процессов контроля, что и создает риски. Также у малого бизнеса меньше средств, которые они готовы выделить на информационную безопасность, от этого используемое ПО часто оказывается незащищенным, — пояснил руководитель направления анализа защищенности IZ: SOC «Информзащиты» Анатолий Песковский.

Он отметил, что такие ошибки вследствие использования ИИ и критические уязвимости не влияют на функциональность, но зачастую становятся точкой входа для хакеров и иных лиц, атакующих инфраструктуру компании. Популярность вайб-кодинга и вайб-тестинга (тестирование приложений с помощью ИИ-ассистента) действительно тревожит специалистов по информационной безопасности, добавил эксперт.

Программное обеспечение 89% российских компаний содержит уязвимости, эксплуатация которых может привести в том числе к несанкционированному доступу во внутренние сети либо к чувствительным данным. Кроме того, количество обнаруженных уязвимостей в отечественных приложениях в III квартале 2025 года достигло 6 тыс. — это на 27% больше, чем за аналогичный период 2024-го, сообщили в ИТ-компании «Спикател».

— В данный момент с помощью ИИ генерируется порядка 8−10% строк кода в российских системах, а к 2030 году эта доля может увеличиться до 70%. Это решения, где не требуется высокая производительность, например интерфейс веб-сайтов и мобильных приложений. Полагаться на вайб-кодинг при достижении определенного размера проекта опасно, ведь исследования показывают, что почти половина LLM-моделей ссылаются на фиктивные библиотеки. Они часто придумывают названия на основе шаблонов, а не реальных данных. Использовать такой код трудно и рискованно, — уточнил ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов.

Сгенерированный ИИ код — глобальный тренд, и актуален не только для России. Так, по данным за последние три года, около 50% кода, сгенерированного искусственным интеллектом, содержит ошибки и потенциальные уязвимости, отметил руководитель направления продуктовой безопасности Selectel Антон Ведерников. Он убежден, что с развитием вайб-кодинга рост новых приложений кратно вырастет. А значит, автоматизация таких проверок после вайб-программистов станет куда более актуальной, ведь ручного контроля станет недостаточно.

Атаки с помощью дипфейков

Вторая важная угроза, создаваемая усилиями ИИ, — дипфейки. По данным «Информзащиты», суммарный ущерб от таких атак оценивается в 17 млрд рублей.

— За первое полугодие 2025-го в России около 6,4 тыс. компаний столкнулись хотя бы с одной дипфейк-атакой. А количество самих инцидентов с использованием дипфейков против средних и крупных организаций составляет около 20 тыс., — уточнили в пресс-службе компании.

Также из-за дипфейков появилась новая тенденция: с начала года доля объявлений об утечках внутренней документации компаний выросла до 40%, отметили в пресс-службе компании BI.ZONE. Раньше утечки такой информации были редкими, в 2024-м их доля колебалась в пределах 15−20%, а преобладающими (80−85%) оставались пользовательские данные (ФИО, почта, логины, пароли, номера телефонов).

— Технологии ИИ для генерации видео, аудио и фото быстро развиваются, и уже сегодня контент с дипфейками трудно отличить от «живого». Поэтому важно постоянно повышать осведомленность населения о мошеннических схемах с использованием современных технологий. Успешная атака с подменой личности руководителя может стоить компании миллионы рублей и принести существенный репутационный ущерб, — сказал исполнительный директор «МТС Линк» Павел Потехин.

Важно понимать, что качество кода, сгенерированного ИИ, обычно соответствует уровню разработчика средней квалификации или ниже и при этом требует тщательного контроля, сказал директор департамента информационных технологий УК «Альфа-Капитал» Федор Лежнев. Риски вайб-кодинга снижаются при строгом соблюдении корпоративных стандартов: использование проверенных библиотек, автоматических анализаторов кода (SAST, DAST), обязательное прохождение code review перед внедрением, отметил он.

В «Авито» считают, что проблема не в самой технологии, а в подходе к ее использованию. Любой ИИ-инструмент может создавать уязвимости, если применять его без должного контроля и понимания. Поэтому те, кто работает с чувствительными данными, используют только модели в контуре компании, так как это защищает от утечек кода и данных, резюмировал руководитель по информационной безопасности компании Андрей Усенок.

Поделиться