Habr AI→ оригинал

70% разработчиков знают, что AI пишет дырявый код — и всё равно деплоят его в прод

70% разработчиков считают, что AI создаёт дырявый код с уязвимостями и логическими ошибками. При этом 30% из них всё равно деплоят его в продакшн — без ревью…

AI-обработка оригинала Habr AI; редакция Hamidun News
70% разработчиков знают, что AI пишет дырявый код — и всё равно деплоят его в прод
Источник: Habr AI. Коллаж: Hamidun News.
◐ Слушать статью

Новое исследование выявило парадокс: 70% разработчиков считают AI-код небезопасным, но 30% из них всё равно деплоят его в продакшн — без дополнительных проверок.

Цифры без сенсации

Опрос охватил разработчиков, активно использующих AI-ассистенты — GitHub Copilot, ChatGPT, Claude и другие инструменты. Картина устойчивая: большинство осознают риски, но давление дедлайнов и иллюзия надёжности берут своё. 70% признают, что AI стабильно производит код с уязвимостями, логическими ошибками, устаревшими паттернами безопасности или откровенно плохой архитектурой. Каждый третий из них деплоит такой код в боевые среды — без ревью, без статического анализа, иногда без тестов. Это не единичные случаи халатности — это симптом системной проблемы. Автор колонки на Хабре, выходец из команды PVS-Studio, говорит прямо: для него это не открытие. Разговор о завышенных ожиданиях к AI-инструментам он вёл ещё год назад. Новое — то, что индустрия внезапно начала обсуждать проблему как что-то неожиданное.

Почему AI-код кажется надёжным Корень проблемы — в самой природе языковых моделей.

AI генерирует код уверенно, без оговорок. Синтаксис правильный, структура знакомая, линтер молчит. Разработчик видит «похожий на рабочий» результат — и снижает критичность восприятия. Это хорошо изученный психологический феномен: чем авторитетнее источник, тем слабее скептицизм. AI выдаёт результат мгновенно — что дополнительно создаёт ощущение, что «модель уже всё проверила». На практике это не так.

«Ожидания завышены, а к сгенерированному коду есть избыточное доверие — как и к текстам в целом».

Языковая модель не знает бизнес-логики конкретной системы, не понимает, какие данные придут на вход в реальной эксплуатации. Она может воспроизводить уязвимые паттерны — SQL-инъекции, небезопасные дефолты, отсутствие валидации входных данных — просто потому что именно они часто встречались в обучающем корпусе. Галлюцинации в коде — не редкость, а закономерность. Проблему усугубляет и прогресс самих инструментов. Разработчики наблюдают улучшения от месяца к месяцу и склонны экстраполировать: «раньше делал ошибки, сейчас заметно лучше». Но «лучше» не равно «безопасно» — именно этот зазор становится источником инцидентов.

Вопросы, которые стоило задать раньше Сейчас в индустрии идёт запоздалое переосмысление.

Команды задаются вопросами, которые стоило поднять ещё при первичном внедрении AI-ассистентов: * Нужен ли отдельный чеклист для ревью AI-генерированного кода?

  • Как настроить CI/CD, чтобы автоматически ловить типичные ошибки генераторов?
  • Как обучать джунов, которые уже привыкли доверять автодополнению?
  • Какую роль должны играть статические анализаторы в пайплайне с AI?
  • Как объяснить менеджменту, что «сгенерировал за 10 секунд» не равно «готово к деплою»? Большинство команд нащупывают ответы методом проб и ошибок — иногда ценой реальных инцидентов в продакшне.

Что это значит Проблема не в AI как технологии.

Проблема в позиционировании: инструменты продаются как замена разработчику, а работают как черновик, требующий проверки. Пока в командах не появится культура обязательного ревью AI-кода — статистика будет только ухудшаться. Решение старое и скучное: статический анализ, обязательный code review, покрытие тестами и чёткое понимание, что скорость генерации не равна качеству результата. Инструменты для этого существуют давно. Вопрос — в дисциплине их применения.

ЖХ
Hamidun News
AI‑новости без шума. Ежедневный редакторский отбор из 400+ источников. Продукт Жемала Хамидуна, Head of AI в Alpina Digital.

Хотите не читать про ИИ, а внедрить его?

«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.

Что вы думаете?
Загружаем комментарии…