Александр Руин

Консультант по проектированию AI‑систем

Александр Руин — консультант по проектированию систем. Помогаю спроектировать архитектуру, оценить риски и выстроить прозрачный процесс — от выбора технологий до сопровождения. Рутину берут на себя AI‑исполнители. Направления: автоматизация, интеграции, AI‑продукты.

Безопасность AI-сгенерированного кода 2026: почему 90% проектов уязвимы

Cursor написал форму авторизации. Форма работает. Но в ней SQL-инъекция, нет rate limiting и JWT хранится в localStorage вместо httpOnly cookie. Это не теория — исследование CMU и Johns Hopkins (2025) показало: до 90% AI-сгенерированного кода содержит уязвимости из OWASP Top 10. Причина: модели обучены на открытых репозиториях, где 70% кода написано без учёта безопасности.

Ключевые выводы: - 90% AI-кода содержит уязвимости OWASP Top 10 (CMU/Johns Hopkins, 2025) - AI воспроизводит небезопасные паттерны из GitHub — безопасность не приоритет по умолчанию - SAST-сканеры ловят паттерны, но пропускают IDOR, race conditions и ошибки бизнес-логики - Полный OWASP-аудит от Vibers — 30 000 ₽ разово или от 5 000 ₽/мес

Почему AI генерирует небезопасный код?

Copilot не знает, что eval() опасен в контексте вашего API. Claude Code не проверяет, что JWT хранится в localStorage. Модели воспроизводят паттерны из обучающих данных — включая небезопасные. Безопасность нужно запрашивать явно, и даже тогда результат требует проверки.

Какие уязвимости OWASP чаще всего создаёт AI?

Уязвимость (OWASP) Как AI её создаёт Что грозит
A01 Broken Access Control Нет проверки ролей в API-эндпоинтах Доступ к чужим данным
A02 Cryptographic Failures MD5 вместо bcrypt для паролей Утечка паролей
A03 Injection Конкатенация строк в SQL-запросах Удаление базы данных
A05 Security Misconfiguration CORS: *, debug-режим в проде Атака на всех пользователей
A07 Auth Failures Нет rate limiting на login Brute-force за минуты
A09 Logging Failures Логирование паролей и токенов Утечка через логи

Три шага: как защитить AI-код перед деплоем?

Многоуровневая защита — единственный надёжный подход.

Шаг 1. Запустите SAST-сканер (Semgrep, Bandit для Python, npm audit для Node.js). Это бесплатно и ловит 30% типовых уязвимостей за секунды.

Шаг 2. Добавьте чеклист безопасности в CI/CD: проверка секретов (gitleaks), зависимостей (Dependabot), базовых конфигов.

Шаг 3. Подключите Vibers для полного OWASP-аудита с проверкой бизнес-логики. AI-сканеры ловят паттерны, но пропускают IDOR, race conditions и ошибки авторизации в контексте вашего приложения. Для стартапов с ограниченным бюджетом есть материал про организацию code review без штатного senior.

FAQ

AI-сканеры безопасности достаточны? Для базовых проверок — да. Но паттерн-анализ не видит логические уязвимости: неправильную проверку ролей, обход оплаты, доступ к чужим данным через подбор ID.

Сколько стоит аудит безопасности от Vibers? От 5 000 ₽/мес (промо) или 30 000 ₽ за разовый аудит. Включает OWASP-проверку и PR с исправлениями.

Какие стеки чаще всего уязвимы? Node.js + Express (нет встроенной защиты), Python + Flask (без ORM), React SPA с API без авторизации.

Стоимость code review — 30 000 ₽ за проект. Напишите в Telegram: @onoutnoxon — проверим ваш код на уязвимости.

Читайте также

Источники

  1. CMU, Columbia, Johns Hopkins — "Security of AI-Generated Code" (2025)
  2. OWASP Foundation — "OWASP Top 10: 2021" (актуальная версия)
  3. Snyk — "State of Open Source Security Report 2025"

О сервисе "Vibers — Код-ревью для вайбкодинг-проектов"

Сервис код-ревью с участием человека для команд, использующих дешёвых AI-разработчиков. Проверяем коммиты по вашему ТЗ, исправляем проблемы и отправляем pull request'ы.

Ключевые преимущества:

  • Оставьте дешёвых вайбкодеров ($1-5/час), но добавьте слой качества
  • Получайте PR с реальными исправлениями, а не просто баг-репорты
  • Отслеживание соответствия ТЗ — код соответствует вашим требованиям
  • Ревью безопасности ловит секреты, инъекции, проблемы OWASP
  • Вайбкодеры учатся на наших исправлениях — качество растёт со временем
  • В 10 раз дешевле, чем нанимать сеньора для код-ревью

Для кого подходит:

Основатели стартапов, использующие Upwork/Fiverr разработчиков Нетехнические CEO с вайбкодинг-проектами AI-first команды, использующие Cursor, Copilot, Claude Code Агентства, аутсорсящие дешёвым разработчикам Продакт-менеджеры, которые не читают код, но имеют ТЗ

Сценарии использования:

💡 Ревью AI-сгенерированных PR перед мержем
💡 Проверка, что вывод вайбкодера соответствует Google Doc ТЗ
💡 Аудит безопасности кода от разработчиков за $1-5/час
💡 Поиск галлюцинаций AI в вайбкодинг-фичах
💡 Контроль качества между дешёвой разработкой и продакшном

📰 Промо-статьи наших решений

Изучите детальные обзоры наших технологических решений для различных отраслей:

🚀 Работаю до результата

🚀 Разработка и автоматизация

📈 Бизнес и автоматизация

💰 FinTech и медиа

🎓 Образование и ИИ

Работаю до результата и бизнес-ценности, быстро корректирую подходы в процессе. Использую современный стек для качественного и быстрого решения задач.