Код, сгенерированный ИИ, и риски безопасности: какие уязвимости выделяют в «вайб‑кодинге»

Материал Tproger разбирает проблемы безопасности, которые могут возникать при практике «вайб‑кодинга», когда разработка активно опирается на генерацию кода с помощью ИИ. Авторы считают, что такой подход способен создавать условия для появления уязвимостей, а для злоумышленников он может стать удобной точкой входа.
В статье описывают пять типов угроз, которые встречаются в подобном коде. Речь идёт об ошибках в бизнес‑логике, сбоях в проверке прав доступа, уязвимостях при обработке пользовательского ввода, рисках, связанных с зависимостями, и о подмене навыков ИИ.
Отдельно приводится практический опыт команды AppSec Альфа-Банка. Там адаптируют процессы ревью кода с учётом особенностей программного обеспечения, созданного с помощью генерации ИИ.
Ключевые факты
Материал описывает пять угроз вайб-кодинга: ошибки в бизнес-логике, проверке прав доступа, обработке ввода, зависимостях и подмена навыков ИИ.
Код, сгенерированный ИИ в практике вайб-кодинга, рассматривается как источник уязвимостей, из-за которых его называют «мечтой хакера».
В статье разбирается, как адаптировать процесс ревью кода, сгенерированного ИИ, на основе опыта AppSec Альфа-Банка.