Популярность «vibe-coding» — метода создания программного обеспечения через естественный язык без глубокого погружения в код — несет скрытые угрозы для безопасности цифровых продуктов. Разработчики, полагающиеся исключительно на генеративные модели, часто упускают из виду критические уязвимости, которые не всегда очевидны при автоматической генерации кода. Один из показательных примеров — запуск аналитического сервиса, который месяцами работал с критической дырой в виде SQL-инъекции, оставшейся незамеченной из-за отсутствия экспертного аудита.
Основная проблема заключается в том, что ИИ-инструменты успешно справляются с написанием работающего функционала, но не всегда учитывают контекст безопасности всей инфраструктуры. В отличие от традиционной разработки, где процессы code review и статического анализа кода являются стандартными этапами, при «vibe-coding» эти проверки часто игнорируются. В результате приложения выходят в продакшн с потенциальными точками входа для злоумышленников, способными привести к утечке данных или полному захвату контроля над базой данных.
Специалисты по кибербезопасности подчеркивают, что использование LLM для написания кода требует изменения подхода к тестированию. Автоматизация создания продукта не отменяет необходимости в проверке безопасности, управлении зависимостями и понимании того, как именно сгенерированные фрагменты взаимодействуют с сервером. Для минимизации рисков эксперты рекомендуют внедрять автоматизированные сканеры уязвимостей на этапе CI/CD и проводить ручной аудит критических узлов, даже если весь код был написан с помощью ИИ.