Искусственный интеллект уже давно преобразует многие сферы жизни, и программирование — одна из самых заметных. Сегодня разработчики активно используют AI для автоматизации рутинных задач, ускорения процесса написания кода и повышения производительности. Однако вместе с удобствами и скоростью приходит серьезная проблема — безопасность создаваемого ИИ кода. Летом 2025 года компания Veracode представила результаты масштабного исследования, которое проливает свет на то, насколько надежна и безопасна продукция современных языковых моделей. Более сотни ИИ-моделей были протестированы на предмет уязвимостей при написании кода на популярных языках программирования, таких как Java, Python, C# и JavaScript.
Полученные результаты оказались тревожными и требуют пристального внимания со стороны разработчиков, специалистов по безопасности и управления предприятиями. Исследование выявило, что почти половина сгенерированного кода содержит серьезные уязвимости, в том числе входящие в топ-10 самых опасных проблем по стандарту OWASP. Особенно уязвимым оказался язык Java, где 72% примеров кода не прошли базовые проверки безопасности. Другие широко используемые языки не показали значительно лучших результатов: Python имел почти 40% проваленных проверок, JavaScript — 43%, а C# — около 45%. Такие показатели свидетельствуют о том, что создание функционального кода и создание по-настоящему безопасного кода — это задачи разного уровня сложности.
Тот факт, что даже самые продвинутые модели ИИ по-прежнему не справляются с проблемами безопасности, разрушает миф о том, что современные и большие языковые модели по умолчанию обеспечивают надежность своих решений. Одной из наиболее частых и опасных обнаруженных уязвимостей стала Cross-Site Scripting (CWE-80), с которой ИИ столкнулся в 86% релевантных случаев. Это тип атаки, широко используемый злоумышленниками для внедрения вредоносных скриптов через веб-приложения, и его присутствие в сгенерированном коде прямо угрожает безопасности пользователей и бизнесов. Вопреки ожиданиям, новейшие версии и большие языковые модели не обеспечивали существенного повышения в плане безопасности. Хотя работа с синтаксисом и функционалом заметно улучшилась, значимых изменений в способности моделей предотвращать уязвимости и писать надежный код обнаружено не было.
Это подчеркивает необходимость не только слепо доверять ИИ, но и тщательно проверять любое сгенерированное им ПО, включать в процесс разработки контроль качества, направленный на безопасность. Еще более важным становится понимание, что проблемы безопасности касаются не только команд самих разработчиков, использующих генеративный ИИ напрямую. AI-генерируемый код уже широко проник в разработку через сторонних поставщиков, открытые проекты, платформы с низким уровнем кода и аутсорсинговых подрядчиков. Это означает, что многие компании уже используют программное обеспечение с элементами искусственного интеллекта без осознания этого, значительно увеличивая риски возможных утечек данных, сбоев и репутационных потерь. Отсутствие должного внимания к анализу безопасности в таких случаях может привести к серьезным финансовым и юридическим последствиям.
Сегодняшняя ситуация заставляет пересмотреть подход к разработке и интеграции AI-решений. Скорость создания ПО не должна идти в ущерб безопасности и надежности. Как и при выпуске традиционных приложений, код, сгенерированный искусственным интеллектом, должен проходить обязательное сканирование уязвимостей и тестирование на соответствие стандартам безопасности. В отчете Veracode по безопасности AI-кода также приводятся конкретные рекомендации для разных категорий участников процесса разработки ПО. Для программистов важно улучшать навыки понимания и выявления типичных уязвимостей, а также использовать современные инструменты автоматической проверки безопасности, интегрируемые в процессы CI/CD.
Специалисты по информационной безопасности должны внедрять более сложные стратегии анализа кода, учитывающие особенности AI-генерации, и развивать методики оценки рисков, связанных с использованием языковых моделей. Руководство компаний должно инвестировать в создание безопасных практик разработки и формировать культуру ответственности за качество и защиту продуктов, включая обязательное обучение сотрудников. В целом, индустрия разработки программного обеспечения стоит на пороге серьезных изменений. Искусственный интеллект, с одной стороны, предоставляет колоссальные возможности для ускорения и повышения качества написания кода, с другой — открывает новые угрозы, которые нельзя упускать из виду. Обеспечение безопасности AI-сгенерированного кода — задача общего приоритета, требующая слаженного взаимодействия всех участников: разработчиков, менеджеров, специалистов по безопасности и конечных пользователей.
Следующие годы определят, насколько эффективно индустрия сможет адаптироваться к вызовам, связанным с генеративным ИИ, и поможет ли это технологическое новшество работать на благо, а не во вред цифровой безопасности. Верное понимание и применение выводов таких исследований, как 2025 GenAI Code Security Report от Veracode, станет фундаментом для построения более надежной и защищенной цифровой экосистемы будущего.
