70% разработчиков знают, что AI пишет дырявый код — и всё равно деплоят его в прод
70% разработчиков считают, что AI создаёт дырявый код с уязвимостями и логическими ошибками. При этом 30% из них всё равно деплоят его в продакшн — без ревью…
AI-обработка оригинала Habr AI; редакция Hamidun News
Новое исследование выявило парадокс: 70% разработчиков считают AI-код небезопасным, но 30% из них всё равно деплоят его в продакшн — без дополнительных проверок.
Цифры без сенсации
Опрос охватил разработчиков, активно использующих AI-ассистенты — GitHub Copilot, ChatGPT, Claude и другие инструменты. Картина устойчивая: большинство осознают риски, но давление дедлайнов и иллюзия надёжности берут своё. 70% признают, что AI стабильно производит код с уязвимостями, логическими ошибками, устаревшими паттернами безопасности или откровенно плохой архитектурой. Каждый третий из них деплоит такой код в боевые среды — без ревью, без статического анализа, иногда без тестов. Это не единичные случаи халатности — это симптом системной проблемы. Автор колонки на Хабре, выходец из команды PVS-Studio, говорит прямо: для него это не открытие. Разговор о завышенных ожиданиях к AI-инструментам он вёл ещё год назад. Новое — то, что индустрия внезапно начала обсуждать проблему как что-то неожиданное.
Почему AI-код кажется надёжным Корень проблемы — в самой природе языковых моделей.
AI генерирует код уверенно, без оговорок. Синтаксис правильный, структура знакомая, линтер молчит. Разработчик видит «похожий на рабочий» результат — и снижает критичность восприятия. Это хорошо изученный психологический феномен: чем авторитетнее источник, тем слабее скептицизм. AI выдаёт результат мгновенно — что дополнительно создаёт ощущение, что «модель уже всё проверила». На практике это не так.
«Ожидания завышены, а к сгенерированному коду есть избыточное доверие — как и к текстам в целом».
Языковая модель не знает бизнес-логики конкретной системы, не понимает, какие данные придут на вход в реальной эксплуатации. Она может воспроизводить уязвимые паттерны — SQL-инъекции, небезопасные дефолты, отсутствие валидации входных данных — просто потому что именно они часто встречались в обучающем корпусе. Галлюцинации в коде — не редкость, а закономерность. Проблему усугубляет и прогресс самих инструментов. Разработчики наблюдают улучшения от месяца к месяцу и склонны экстраполировать: «раньше делал ошибки, сейчас заметно лучше». Но «лучше» не равно «безопасно» — именно этот зазор становится источником инцидентов.
Вопросы, которые стоило задать раньше Сейчас в индустрии идёт запоздалое переосмысление.
Команды задаются вопросами, которые стоило поднять ещё при первичном внедрении AI-ассистентов: * Нужен ли отдельный чеклист для ревью AI-генерированного кода?
- Как настроить CI/CD, чтобы автоматически ловить типичные ошибки генераторов?
- Как обучать джунов, которые уже привыкли доверять автодополнению?
- Какую роль должны играть статические анализаторы в пайплайне с AI?
- Как объяснить менеджменту, что «сгенерировал за 10 секунд» не равно «готово к деплою»? Большинство команд нащупывают ответы методом проб и ошибок — иногда ценой реальных инцидентов в продакшне.
Что это значит Проблема не в AI как технологии.
Проблема в позиционировании: инструменты продаются как замена разработчику, а работают как черновик, требующий проверки. Пока в командах не появится культура обязательного ревью AI-кода — статистика будет только ухудшаться. Решение старое и скучное: статический анализ, обязательный code review, покрытие тестами и чёткое понимание, что скорость генерации не равна качеству результата. Инструменты для этого существуют давно. Вопрос — в дисциплине их применения.
Хотите не читать про ИИ, а внедрить его?
«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.
Главное из мира ИИ — раз в неделю
7 ключевых событий недели, отобранных вручную. Без шума, репостов и пресс-релизов.
Готово! Проверьте почту — мы отправили подтверждение.