Программирование превратилось в новую привычку, которая быстро становится проблемой для всей отрасли. Широкое распространение получает так называемое Weib Coding — практика, при которой разработчики создают программные решения с помощью генеративного искусственного интеллекта, адаптируя готовые фрагменты, а не записывая их вручную. Такой подход обещает сэкономить время и ресурсы, но взамен создает новые угрозы безопасности, которые уже начинают влиять на реальные продукты и услуги.
Раньше разработчики ускоряли разработку, используя библиотеки с открытым исходным кодом и готовые компоненты. Это позволило им сосредоточиться на логике и интерфейсах, но привело к увеличению количества уязвимостей, поскольку не все библиотеки должным образом поддерживались и тестировались. С появлением AI-генерации ситуация изменилась лишь внешне — вместо импорта стороннего пакета теперь достаточно ввести запрос и модель создаст блок кода для выполнения задачи. Однако внутренний риск остается прежним: разработчик получает результат, но не всегда понимает, откуда взялись те струны, по которым потом будет построен его продукт.
По оценкам Checkmarx, к концу 2024 года около 60% корпоративного кода уже будет создано с помощью ИИ. При этом только 18% компаний имеют утвержденный перечень инструментов для такой работы. Исследователи говорят, что в результате размываются границы ответственности: непонятно, кто автор решения, прошел ли этот код аудит и соответствует ли он стандартам безопасности. В отличие от таких репозиториев, как GitHub, где изменения, сгенерированные нейронной сетью, можно отслеживать, не имеют истории происхождения и авторства.
Проблему усугубляет еще один фактор — обучение искусственного интеллекта на старых или уязвимых проектах. Если модель освоила код с известными ошибками, она воспроизводит те же дефекты в новых проектах. Это создает порочный круг, в котором одна и та же уязвимость переходит от одного поколения алгоритмов к другому. Кроме того, разные члены команды, использующие одну и ту же модель, получают несколько разные решения, что усложняет последующую проверку и сопровождение систем.
Эксперты отметили, что непрозрачность и фрагментация кода ИИ разрушают традиционные механизмы контроля, существовавшие в экосистеме с открытым исходным кодом. Там ответственность распределялась между участниками, а код обсуждался и рецензировался публично. Однако в случае с ИИ эти фильтры практически отсутствуют: большая часть сгенерированных решений попадает в продукт без полного подтверждения. В результате возрастает вероятность скрытых ошибок, которые не могут быть обнаружены стандартными средствами анализа.
Еще один аспект кодирования Weib — иллюзия доступности.S Для малого бизнеса и некоммерческих организаций, не имеющих профессиональных инструментов разработки, генеративные инструменты становятся заманчивым способом быстрого получения необходимого приложения. Но простота использования становится угрозой: эти продукты часто появляются в сети с неопределенными интерфейсами, неправильной обработкой данных и отсутствием аутентификации. И хотя крупная компания может испытать на себе последствия инцидента, уязвимость приложения социального проекта может оказаться катастрофической.
Эксперты по безопасности предупреждают, что с окончанием «льготного периода» для ИИ вопрос аудита кода станет таким же актуальным, как и для открытого кода. Разработчики должны учитывать это уже сейчас, выстраивая процессы аудита и вводя обязательную проверку результатов генерации. Ведь каждый новый уровень автоматизации не снимает ответственности с человека — он только добавляет непредсказуемости.
