Один ИИнженер – десять рук: как мы исследовали LLM в AppSec
SolarSecurity 11 минут назад Один ИИнженер – десять рук: как мы исследовали LLM в AppSec Время на прочтение 6 мин Охват и читатели 436 Блог компании Солар Информационная безопасность * Разработка мобильных приложений *...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. SolarSecurity 11 минут назад Один ИИнженер – десять рук: как мы исследовали LLM в AppSec Время на прочтение 6 мин Охват и читатели 436 Блог компании Солар Информационная безопасность * Разработка мобильных приложений * Разработка под e-commerce * Всем привет, на связи Solar appScreener! В этой статье расскажем о нашем опыте использования ИИ в нашем собственном продукте. ИИ-агенты уже стали неотъемлемой частью процесса разработки, это больше не мимолетный хайп, а новая реальность.
По данным исследования Sonar (State of Code Developer Survey 2026, ), 72% разработчиков, попробовавших использовать ИИ, стали использовать его ежедневно. А 42% всего написанного кода уже сгенерирован ИИ, или существенно им доработан. Какие-то запредельные числа.
Технические детали
Стоит признать, что мы живем в новой реальности, в которой вайбкодинг — это новый стиль программирования. Но остается незакрытым вопрос – а что там происходит с безопасностью этого кода?! И тут данные неутешительны.
ИИ продолжает генерировать код с уязвимостями. 45% образцов кода, генерируемых ИИ, оказались небезопасными (Veracode. GenAI Code Security Report, ).
Это как подбросить монетку, безопасный ли код был сгенерирован или нет. Не то, что хочется от видеть в разрезе безопасности. Вот несколько основных причин, почему так происходит: 1) Модели обучались на огромных массивах публичного кода, перенимая паттерны и стиль его написания.
Отраслевые последствия
И там было много уязвимостей и небезопасных шаблонов кода 2) ИИ не «понимает» что такое безопасность как концепция в написании кода, а продолжает статистически вероятную последовательность токенов 3) ИИ пока не может держать «в уме» весь проект целиком, где в нем и как курсирует чувствительная информация, например, определение пользователя, поэтому ошибается. Но это не значит, что ИИ не может решать проблемы безопасности. Сейчас все больше вендоров идут в сторону умного внедрения ИИ в свои продукты.
Наиболее успешными кейсами по текущим исследованиям (Veracode. GenAI Code Security Report, , Checkmarx 2025 Trends on AI Security, ) является применение ИИ для триажа найденных уязвимостей и генерации для них исправлений. Интересный факт – никто не пророчит замену ИИ классических SAST/DAST анализаторов, напротив, они получают дополнительный буст для развития за счет ИИ.
Как выглядит классический SAST: Почему на классический триаж не хватает времени? Поэтому возникает вопрос: как автоматизировать всю эту рутину и получать сэмплы безопасного кода? А вот здесь стоит задать себе еще несколько вопросов: Какие данные передавать ИИ?
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
