Por qué el vibe coding y las extensiones de VS Code crean nuevos riesgos para el negocio y el desarrollo
AI dio a los empleados la capacidad de crear rápidamente scripts, bots e integraciones sin esperar a los desarrolladores. Pero junto con la velocidad llegaron n
ИИ уже меняет распределение ролей в компаниях: сотрудник без глубокого технического бэкграунда может собрать скрипт, подключить расширение в VS Code и быстро решить локальную задачу. Проблема в том, что вместе со скоростью в бизнес приходят новые риски — от утечки данных и уязвимого кода до теневой автоматизации, о которой IT-команда узнаёт слишком поздно.
Почему риск вырос
Вайб-кодинг снижает порог входа: человек описывает задачу на естественном языке, а модель предлагает готовые куски кода, инфраструктурные конфиги и команды для деплоя. Для бизнеса это выглядит как ускорение, потому что задачи закрываются без очереди к разработчикам и администраторам. Но скорость здесь обманчива: сотрудник может не понимать, что именно сгенерировал ИИ, какие права нужны скрипту, куда уходят данные и как расширение IDE обрабатывает содержимое проекта.
Отдельная проблема — экосистема расширений для VS Code. Установка занимает минуты, а последствия могут тянуться месяцами. Плагин получает доступ к файлам, токенам, терминалу или сетевым запросам, а проверка обычно ограничивается количеством звёзд на маркетплейсе.
Если внутри слабая защита, агрессивная телеметрия или просто некачественный код, компания получает новый вход для утечек, ошибок и несанкционированных изменений в рабочих процессах. Часто такие решения попадают в повседневную работу без формального согласования и контроля версий.
Где бизнес теряет Главный риск — появление теневого IT.
Сотрудники начинают автоматизировать процессы сами: пишут боты, интегрируют API, создают внутренние панели, меняют CI-скрипты или запускают обработку клиентских данных без архитектурного ревью. Пока всё работает, это кажется победой эффективности. Но в момент инцидента выясняется, что никто не знает, где лежит код, кто его поддерживает, какие секреты в нём зашиты и что сломается, если автор уволится или просто перестанет этим пользоваться.
- Утечка ключей и внутренних документов через AI-плагины и внешние API Уязвимый код в продакшене без нормального ревью и тестов Автоматизации, которые обходят ролевую модель, журналы аудита и политики безопасности Рост расходов из-за сломанных интеграций, неверных SQL-запросов и простоев Юридические риски, если данные клиентов уходят в сторонние сервисы без согласования Особенно опасна иллюзия компетентности. ИИ часто выдаёт правдоподобный результат, который выглядит как решение уровня senior, хотя внутри могут быть устаревшие библиотеки, небезопасные паттерны и неверные допущения о среде. Для небольшой задачи это оборачивается лишними часами, для крупной компании — инцидентом в проде, нарушением комплаенса или прямыми финансовыми потерями. Ошибки обнаруживаются не в редакторе, а уже после запуска на реальных данных и клиентах.
Как снизить ущерб Запретить ИИ целиком уже не получится, поэтому рабочий путь — вводить рамки.
Компании нужен понятный список разрешённых инструментов, правила работы с данными и базовая модель ответственности: кто может ставить расширения, какие репозитории можно отправлять во внешние модели, где хранить токены и какие сценарии требуют обязательного участия IT или команды безопасности. Вайб-кодинг безопаснее там, где он встроен в процесс, а не живёт отдельной серой зоной внутри команд. Практически это означает несколько обязательных шагов: отдельные корпоративные аккаунты для AI-сервисов, белые списки расширений, изоляцию секретов через vault или переменные окружения, обязательное ревью всего кода, который идёт дальше локального эксперимента, и логирование автоматизаций.
Полезно также разделять прототип и production: сотрудник может быстро собрать решение с ИИ, но переводить его в боевой контур должны люди, которые понимают архитектуру, безопасность и стоимость поддержки. Если компания уже массово использует AI-инструменты, стоит провести аудит: какие плагины стоят у сотрудников, какие внешние модели подключены, кто и куда отправляет файлы проекта, какие скрипты запускаются из IDE и сколько бизнес-процессов завязано на код без владельца. Такой разбор обычно быстро показывает, что проблема не в самом ИИ, а в отсутствии правил, наблюдаемости и инженерной дисциплины.
Чем раньше сделать такую инвентаризацию, тем дешевле исправлять последствия.
Что это значит ИИ делает разработку доступнее, но одновременно размывает границы ответственности.
Для бизнеса выигрывают не те, кто просто разрешил вайб-кодинг, а те, кто быстро наложил на него контроль: понятные инструменты, проверку кода, защиту данных и владельцев у каждой автоматизации.