ИИ-кодинг победил. Битва за безопасность только начинается

Среди опрошенных Salt 29% назвали небезопасные шаблоны кодирования главным риском, а 15% — несоответствие внутренним политикам безопасности . У обеих тревог общий корень: ИИ-помощники обучены на публичном коде, а не на политиках безопасности конкретной организации, отраслевых стандартах или требованиях к соблюдению нормативов .

Дрейф безопасности: когда никто не замечает, что попадает в релиз

Отчет вводит понятие «дрейф безопасности» как механизм, превращающий парадокс внедрения в реальную угрозу. Идея проста: правила безопасности компании живут в вики-страницах, PDF-документах и корпоративных привычках, которые ИИ-помощник никогда не видел. Он генерирует синтаксически верный и функционально полезный код, который незаметно нарушает эти внутренние правила. Никто этого не отлавливает, потому что процессы ревью не поспевают .

Отсюда один из самых практически значимых — и тревожных — выводов Salt об управлении. 38% организаций по-прежнему полагаются в основном на ручную проверку кода (code review), чтобы контролировать результат работы ИИ-помощников. Объем ИИ-сгенерированного кода уже превысил возможности осмысленной проверки человеком, а прогноз Salt на 2027 год предполагает, что этот разрыв будет только расти . Лишь малая доля организаций встроила автоматизированные защитные барьеры в свои процессы ИИ-разработки .

Рои Элияху (Roey Eliyahu), генеральный директор Salt Security, резюмировал ситуацию прямо: управление безопасностью «не поспевает» за тем, как ИИ-помощники изменили разработку ПО . Традиционные инструменты статического и динамического анализа (SAST/DAST) находят проблемы слишком поздно — на этапе, когда каждое исправление превращается в переписывание кода, а каждое переписывание означает задержку .

Разрыв восприятия из исследования METR: медленнее, но с ощущением скорости

Управление безопасностью — не единственная область, где восприятие разошлось с реальностью. Отчет Salt обращает внимание на результаты внешнего исследования, ставшего важным аргументом в дискуссиях об инструментах разработки: рандомизированное контролируемое испытание METR, опубликованное в июле 2025 года .

В исследовании 16 опытных разработчиков открытого ПО выполнили 246 реальных задач в собственных зрелых репозиториях — кодовых базах размером в среднем более миллиона строк и с десятками тысяч звезд на GitHub. Участников случайным образом распределили: одним разрешили использовать ИИ-инструменты (в основном Cursor Pro с Claude 3.5/3.7 Sonnet), другие работали без них .

Главный результат цитируют так часто, что он рискует превратиться в фоновый шум, но цифры остаются поразительными. Разработчики с ИИ справлялись с задачами на 19% медленнее, чем те, кто работал без ИИ-помощи. Перед началом испытания те же разработчики предполагали, что ИИ ускорит их на 24%. После выполнения задач они оценили, что инструменты ускорили их примерно на 20% — хотя объективные замеры показали замедление. Разрыв между ощущаемой и реальной производительностью превысил 39 процентных пунктов .

Результаты METR не означают, что ИИ-инструменты бесполезны — контекст имеет огромное значение. Ускорение наблюдалось при онбординге, генерации типового кода и задачах, где разработчики хуже знакомы с кодовой базой. Но для опытных инженеров, решающих сложные задачи в хорошо знакомом им коде, данные говорят о том, что инструменты могут создавать трение, которое разработчики осознанно не регистрируют .

Salt Code: правила на этапе подсказки, а не в конце пайплайна

Salt приурочила публикацию исследования к запуску продукта, нацеленного именно на тот разрыв в управлении, который выявил отчет. 1 июня 2026 года компания представила Salt Code — новый компонент своей Agentic Security Platform .

Подход Salt Code — остановить дрейф безопасности до его начала. Вместо того чтобы сканировать ИИ-сгенерированный код постфактум, продукт внедряет внутренние правила безопасности и требования к соблюдению нормативов организации непосредственно в ИИ-помощник программиста в момент генерации кода. Продукт работает с основными инструментами, на которые переходят предприятия: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex и Gemini CLI .

Цель — сделать генерацию кода, соответствующего политикам, настройкой по умолчанию, а не чем-то, требующим последующего сканирования и переписывания. Для служб безопасности это единый уровень политик, охватывающий создание кода, проверки в пайплайне и мониторинг во время выполнения — сдвиг от поиска ошибок к их предотвращению .

Сможет ли Salt Code или аналогичные инструменты закрыть разрыв в управлении с той скоростью, которой требует внедрение ИИ, — открытый вопрос. Но направление движения понятно. Если прогноз оправдается — что ИИ будет создавать более половины корпоративного кода в ближайшие полтора года, — то политика безопасности должна сместиться с этапа ревью на уровень настроек по умолчанию. Альтернатива, как предупреждает отчет Salt, — дрейф безопасности в промышленных масштабах.