Безопасность вайб-кодинга: 45% AI-кода содержит уязвимости - разбор февраля 2026

Андрей Карпатый придумал определение "вайб-кодинг" в феврале 2025: "полностью отдайся вайбу, забудь, что код вообще существует". Год спустя он сам переименовал подход в "agentic engineering" и заявил, что программирование стало "неузнаваемым" - 80% кода пишут AI-агенты, а разработчик выступает оркестратором. Агенты стали мощнее - но код, который они генерируют, безопаснее не стал. Veracode проверила код от 100+ языковых моделей и выяснила: 45% содержит уязвимости. За два года улучшений моделей эта цифра не сдвинулась. В феврале 2026 вышло пять крупных отраслевых отчётов, утекли данные 18 тысяч пользователей через Lovable-приложение, а NIST запустил инициативу по стандартам безопасности AI-агентов. Разбираю, что происходит.

Масштаб проблемы: цифры февраля 2026

За один месяц пять крупных игроков выпустили отчёты по безопасности AI-кода: Veracode, Gravitee, CrowdStrike, Cisco и Black Duck. Это не совпадение - это системный сигнал. Когда аналитики собираются одновременно, тема перестаёт быть нишевой.

Ключевые цифры: 45% AI-сгенерированного кода содержит уязвимости, 82% организаций находятся в состоянии "security debt" - технического долга по безопасности, когда уязвимости накапливаются быстрее, чем исправляются (Veracode, 2026). 88% организаций сообщают об инцидентах безопасности, связанных с AI-агентами (Gravitee, 2026). Среднее количество уязвимостей на кодовую базу выросло на 107% (Black Duck OSSRA 2026).

Самый показательный кейс - Lovable. Исследователи проверили 62 приложения, созданных на этой AI-платформе: 63% имели критические или высокие уязвимости. В одном из приложений с 18 тысячами пользователей нашли 16 уязвимостей, шесть из которых критические. Самая яркая деталь: AI-сгенерированная логика аутентификации работала наоборот - блокировала залогиненных пользователей и пускала анонимов. Утекли email-адреса, студенческие аккаунты, корпоративные данные (The Register, 27 февраля 2026).

Escape.tech просканировал 5600 vibe-coded приложений и нашёл 2000+ уязвимостей, 400+ открытых секретов в коде и 175 случаев утечки персональных данных - медицинских записей, банковских счетов. Не абстрактные CVE, а реальные данные реальных людей.

10 февраля компания Backslash Security подняла $19 млн - первый вендор, который явно позиционирует себя как специалист именно по "vibe coding security". Деньги текут в проблему - значит, рынок признаёт её реальной.

Три типа рисков: почему безопасность AI-кода касается каждого

Есть три типа рисков, и важно понимать каждый.

AI пишет уязвимый код. Это не значит, что модель "плохая". AI оптимизирует под "работает" - не под "безопасно". SQL-инъекции, захардкоженные ключи API, отсутствие валидации входных данных - классические ошибки, которые AI воспроизводит с завидной последовательностью. Ещё один вектор: prompt injection - атака, при которой вредоносные инструкции встраиваются в данные, обрабатываемые агентом, и заставляют его выполнять несанкционированные действия. Причём итеративное исправление не помогает: при пяти попытках "исправь уязвимость" количество критических уязвимостей вырастает на 37% - AI маскирует проблему, а не решает её (Veracode, 2026).

Один приём, который реально работает: добавить в промпт "follow OWASP secure coding practices". Без этой фразы безопасный код получается в 20% случаев, с ней - в 65%. Пять секунд на одну фразу, втрое лучший результат. Но кто из вайб-кодеров это делает?

Сами AI-инструменты уязвимы. В Cursor обнаружили уязвимость CurXecute, которая позволяла выполнять произвольный код через MCP-серверы (MCP - протокол подключения AI-агентов к внешним инструментам, растущая attack surface). В Claude Code появились собственные CVE. Cursor патчит уязвимости, но окно между обнаружением и патчем реально.

AI-агенты действуют автономно - и могут наломать дров. Один из кейсов 2026 года: AI-агент в Replit, получив задачу "почисти старые данные", удалил production базу данных. Потому что у него был доступ. Потому что никто не ограничил. А AI-агент с полным доступом к production-среде - это как дать стажёру root-права в первый день. Не со зла сломает, а по незнанию.

В этом плане Cursor более безопасен для начинающих, чем Claude Code. Внутренние паттерны программы изначально настроены так, что у агентов по умолчанию нет доступа к .env файлу и секретам, которые хранятся в нём. Есть и ряд других преднастроек и встроенных инструментов, которые ограничивают доступ агентов к части инфраструктуры. Claude Code в этом плане ведёт себя намного более раскованно и у него больше возможностей для выполнения несанкционированных действий. Это одна из причин, почему новичкам не стоит сразу пытаться использовать Claude Code, особенно для разработки production-кода.

Для стартапа риск конкретный: утечка данных пользователей = потеря доверия = конец продукта. Не гипотетически - буквально это произошло с теми 18 тысячами пользователей Lovable.

Безопасность вайб-кодинга: 5 действий за 15 минут

Это не паранойя, а гигиена. Как мыть руки - неудобно только первый раз.

1. Не давай AI доступ к production-секретам. API-ключи, токены баз данных, ENV-переменные - всё это в отдельном .env файле, который AI-агент не читает. Для разработки - тестовые ключи с ограниченными правами. Это занимает 10 минут при настройке и снимает целый класс рисков.

Отдельно про .gitignore - это файл, который указывает Git, какие файлы не нужно отправлять в репозиторий. Туда обязательно должны попасть .env, файлы с ключами API, credentials, конфиги с секретами. Важный нюанс: AI-агент может "забыть" добавить чувствительные файлы в .gitignore, даже когда ты просишь сделать коммит и пуш. Контролируй это сам. Если ключи утекут в репозиторий хотя бы один раз - придётся менять все скомпрометированные секреты. Git хранит полную историю изменений, и даже удаление файла из следующего коммита не поможет - ключ останется в истории навсегда.

2. Добавь одну фразу в промпт. "Follow OWASP secure coding practices" в системный промпт или в начало задачи. Одна фраза - с 20% до 65% безопасного кода. Это бесплатно.

3. Проверяй зависимости перед установкой. AI иногда "галлюцинирует" несуществующие пакеты - slopsquatting: злоумышленники регистрируют пакеты с похожими именами, рассчитывая, что AI ошибётся. Перед npm install или pip install - 30 секунд в Google: пакет существует? Кто автор? Сколько загрузок?

4. Запускай код в изолированной среде. Docker, песочница, тестовый сервер - что угодно, кроме production. Replit-кейс с удалённой базой данных - лучший аргумент. Если что-то сломается в изоляции - это неприятность. В production - катастрофа.

5. Включи автоматический сканер. Snyk, Semgrep или встроенный GitHub Security - все три дают бесплатный тариф для небольших проектов. Пусть сканирует то, что ты не заметишь. Это не замена code review, но это что-то против самых очевидных дыр.

Частые вопросы про безопасность AI-кода

Безопасен ли код, написанный нейросетью?

Нет, не по умолчанию. Veracode проверила код от 100+ языковых моделей: 45% содержит уязвимости. AI оптимизирует под "работает", а не под "безопасно". SQL-инъекции, захардкоженные ключи API, отсутствие валидации - классические ошибки, которые AI воспроизводит стабильно. Добавление одной фразы в промпт ("follow OWASP secure coding practices") повышает долю безопасного кода с 20% до 65%.

Как защитить проект при использовании вайб-кодинга?

Пять конкретных шагов: не давать AI доступ к production-секретам, добавить OWASP-фразу в промпт, проверять зависимости перед установкой (slopsquatting реален), запускать код в изолированной среде, включить автосканер (Snyk, Semgrep, GitHub Security - есть бесплатные тарифы). Всё это занимает 15 минут при первой настройке.

Какие уязвимости чаще всего создаёт AI-код?

По данным февральских отчётов: SQL-инъекции, захардкоженные ключи API, отсутствие валидации входных данных, некорректная логика аутентификации. Escape.tech нашёл 400+ открытых секретов в коде из 5600 vibe-coded приложений. Самый яркий кейс - Lovable: логика авторизации блокировала залогиненных и пускала анонимов.

Нужен ли code review для AI-сгенерированного кода?

Да, и это критично. Итеративное исправление через AI не работает: 5 попыток "исправь уязвимость" увеличивают количество критических уязвимостей на 37%. AI маскирует проблему, а не решает. Автосканеры - необходимый минимум, но не замена ревью. Запускай Snyk или Semgrep на каждый PR.

Что наблюдать дальше

NIST запустил инициативу по стандартам безопасности AI-агентов с дедлайном RFI 9 марта 2026. Когда регулятор включается - это значит, что проблема вышла за пределы технического сообщества. Скоро появятся формальные требования, которые будут касаться продуктов с AI-компонентами.

OWASP уже опубликовал Top 10 for Agentic AI 2026 - стандарт де-факто формируется прямо сейчас. $500 млн+ инвестиций в AI security за февраль 2026 - рынок инструментов будет расти, появятся решения специально под вайб-кодеров.

Вайб-кодинг не умрёт. Но вайб-кодинг без оглядки на безопасность - пожалуй, да. И это к лучшему. Те, кто раньше начнёт относиться к AI-разработке как к инженерному процессу - не как к магии, а как к инструменту с правилами - окажутся в выигрыше. Это и есть то, что я называю гайд-кодингом: не магия, а осознанная работа с AI-инструментами для создания продуктов.

Если тебе полезны такие разборы трендов - я делаю их регулярно в Telegram-канале @productvibe. Там же обсуждаем, как строить продукты с AI и не наступать на грабли.