Программное обеспечение, созданное искусственным интеллектом, содержит уязвимости в 15 раз чаще, чем ПО, разработанное людьми. Этот метод называется вайб-кодинг, и специалисты считают, что на текущем этапе вред от него превышает пользу. За последний год количество подобных уязвимостей в ИТ-системах российских предприятий возросло почти на 30%. Еще одной серьезной угрозой для бизнеса в России стал рост эффективности дипфейков, которые также генерируются с помощью ИИ. Эксперты оценивают общий ущерб от таких атак в 17 млрд рублей.
Что такое вайб-кодинг и почему он опасенПрограммы, созданные с использованием ИИ, имеют в 15 раз больше проблем с безопасностью, чем софт, написанный человеком, особенно в части проверки ввода данных и бизнес-логики. Об этом сообщили в Центре мониторинга и противодействия кибератакам компании «Информзащита».
Вайб-кодинг представляет собой подход, при котором программист дает нейросети задания на естественном языке, а ИИ преобразует их в компьютерный код. Наиболее часто применяются большие языковые модели (LLM), которые ускоряют написание шаблонного кода и интерфейсов, но зачастую пренебрегают аспектами безопасности.
Эксперты отмечают, что в 90% таких программ встречаются уязвимости: отсутствие фильтрации ввода (76%), неправильная авторизация (52%), и хранение секретов в открытых репозиториях (39%). Более 80% решений имеют уязвимости в бизнес-логике, которые могут нарушать работу приложений и вызывать прямые финансовые потери. Модели ИИ могут повторять устаревшие, небезопасные шаблоны или выполнять базовые задачи, но не способны обрабатывать исключения и нестандартные процессы.
— Наибольшая уязвимость вайб-кодинга наблюдается в стартапах, а также в малом и среднем бизнесе. Здесь внедрение новых решений часто опережает развитие систем контроля, создавая риски. Кроме того, у малого бизнеса меньше ресурсов на информационную безопасность, поэтому ПО часто остается незащищенным, — объяснил руководитель анализа защищенности IZ:SOC «Информзащиты» Анатолий Песковский.
Он добавил, что такие ошибки и критические уязвимости из-за применения ИИ не влияют на функциональность, однако часто становятся точкой входа для злоумышленников, атакующих инфраструктуру компании. Популярность вайб-кодинга и вайб-тестинга (тестирование с помощью ИИ) вызывает серьёзную обеспокоенность специалистов по информационной безопасности, отметил эксперт.
В 89% российских компаний считается, что их ПО содержит уязвимости, которые могут привести к несанкционированному доступу к внутренним сетям или конфиденциальным данным. В III квартале 2025 года количество найденных дыр в отечественных приложениях достигло 6 тыс., что на 27% больше, чем за аналогичный период 2024 года, сообщили в компании «Спикател».
— Сейчас около 8–10% строк кода в российских системах сгенерированы ИИ, а к 2030 году эта доля может возрасти до 70%. Такой код применяется в решениях с невысокими требованиями к производительности, например, для интерфейсов веб-сайтов и мобильных приложений. Опасно полагаться на вайб-кодинг при масштабных проектах, ведь исследования показывают, что почти половина LLM-моделей ссылается на вымышленные библиотеки. Они создают названия на основе шаблонов, а не реальных данных. Такой код сложно и рискованно использовать, — отметил ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов.
Код, созданный ИИ, является мировым трендом и актуален не только в России. Так, за последние три года почти 50% ИИ-сгенерированного кода содержат ошибки и потенциальные уязвимости, сообщил руководитель продукта безопасности Selectel Антон Ведерников. Он уверен, что с развитием вайб-кодинга количество новых приложений заметно увеличится, а значит, автоматизация контроля их безопасности станет еще более значимой, так как ручной аудит станет недостаточным.
Атаки с использованием дипфейковЕще одна серьезная угроза от ИИ — дипфейки. По информации «Информзащиты», совокупный ущерб от таких атак оценивается в 17 млрд рублей.
— В России за первое полугодие 2025 года около 6,4 тыс. компаний столкнулись с хотя бы одной дипфейк-атакой. Общее количество инцидентов с использованием дипфейков против средних и крупных организаций достигает порядка 20 тыс., — уточнили представители компании.
Еще одна новая тенденция связана с дипфейками: с начала года доля сообщений об утечках внутренней документации компаний выросла до 40%, сообщили в пресс-службе BI.ZONE. Ранее утечки такой информации были редкими, в 2024 году их доля составляла 15–20%, а основным оставался слив пользовательских данных (ФИО, почта, логины, пароли, номера телефонов) — 80–85%.
— Технологии ИИ для создания видео, аудио и фото развиваются стремительно, и сегодня контент с дипфейками сложно отличить от настоящего. Поэтому важно постоянно повышать осведомленность населения о мошеннических схемах с использованием новейших технологий. Успешная атака с подменой личности руководителя может стоить компании миллионы рублей и нанести серьезный репутационный ущерб, — подчеркнул исполнительный директор «МТС Линк» Павел Потехин.
Следует учитывать, что качество кода, созданного ИИ, как правило, соответствует уровню разработчика со средней квалификацией или ниже и при этом требует строгого контроля, отметил директор департамента информационных технологий УК «Альфа-Капитал» Федор Лежнев. Риски вайб-кодинга снижаются при строгом соблюдении корпоративных стандартов, включая использование проверенных библиотек, автоматических анализаторов кода (SAST, DAST) и обязательное прохождение code review до внедрения.
В «Авито» считают, что проблема заключается не в технологии, а в способе ее применения. Любой инструмент ИИ может создавать уязвимости, если использовать его без должного контроля и понимания. Поэтому организации, работающие с конфиденциальными данными, применяют только модели в корпоративном окружении, что обеспечивает защиту от утечек кода и информации, заявил руководитель по информационной безопасности компании Андрей Усенок.