Опрос Checkmarx: 70% разработчиков считают, что ИИ-код содержит больше уязвимостей; 30% всё равно его поставляют

Ежегодный опрос Checkmarx по безопасности приложений среди 2 350 глобальных разработчиков, CISO и менеджеров по безопасности приложений рисует мрачную картину: 70% респондентов считают, что код, сгенерированный ИИ, содержит значительно больше уязвимостей, но 30% сознательно выпускают уязвимый код в продакшен. Опрос 2026 года продолжает серию отчётов с 2023 года, с увеличением выборки на 54% в этом году.
Ключевые выводы
- Доля кода, сгенерированного ИИ, немного снизилась — с 54% до 49% производственного кода, но всё ещё высока.
- 70% отмечают значительно больше уязвимостей в коде ИИ по сравнению с кодом, написанным человеком.
- 30% сознательно выпускают уязвимый код ИИ в продакшен, ссылаясь на давление из-за необходимости быстрого развёртывания, сложность исправления или надежду на другие средства контроля.
- 93% организаций столкнулись с одной или несколькими утечками данных из-за уязвимых приложений (снижение с 98% в прошлом году).
- Открытый исходный код составляет 59% производственного кода, добавляя риск от вредоносных пакетов в npm, PyPI.
- Организации, где 81-100% кода создаётся ИИ, выпускают уязвимый код в 3,4 раза чаще по сравнению с теми, у кого доля ИИ составляет 1-20%.
Исследователи Checkmarx обнаружили, что LLM склонны недоиспользовать современные функции безопасности языков и компиляторов, поскольку обучающие данные содержат устаревшие практики. Отдельное исследование Университета Центральной Флориды и Бирзейтского университета показало, что наибольшее количество уязвимостей, сгенерированных ИИ, было в коде на C, наименьшее — в Python.
Цитата из отчёта: «Риск нормализован». Авторы предупреждают, что объём кода ИИ напрямую коррелирует с развёртыванием уязвимого кода и частотой утечек.
📖 Читать полный источник: HN AI Agents
👀 Смотрите также

Трамп отзывает указ об ИИ из-за опасений замедления технологического развития США
Президент Трамп отменил указ Байдена об ИИ, сняв федеральные требования к отчетности по безопасности для моделей ИИ. Он сослался на риск ослабления технологического превосходства США над Китаем.

Невыразимый интеллект Дэвида Сильвера привлек $1,1 млрд для суперобучающегося на основе RL без использования человеческих данных
Ineffable Intelligence, основанная выпускником DeepMind Дэвидом Сильвером, привлекла $1,1 млрд при оценке в $5,1 млрд для создания 'суперобучающегося' на основе обучения с подкреплением, который открывает знания без данных человека.

Claude Code v2.1.150 добавляет удаленное внедрение системных подсказок через сеть
Claude Code v2.1.150 загружает системные промпты с серверов Anthropic при запуске и каждые 60 секунд через флаг GrowthBook, позволяя удаленную инъекцию, которую можно заблокировать с помощью CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1.

DeepSeek v4 Flash на Mac Studio: локальная LLM находит реальные ошибки в коде компилятора
Разработчик сообщает, что DeepSeek v4 Flash, работающий на Mac Studio с 128 ГБ, успешно находит настоящие ошибки в кодовой базе компилятора — задача, которая была невозможна с локальными LLM 5 месяцев назад.