Уже сейчас тысячи разработчиков применяют ИИ для анализа кода, и почти все крупные платформы встраивают такие функции. GitLab внедрил AI-модуль Suggested Reviewers: он проверяет исходники, пред лагает исправления и не выносит код за пределы системы. На подходе и отечественные решения — от ассистентов для статического анализа до моделей, находящих типовые баги и утечки данных.

Но ИИ-ревизор не всеведущ. Он не понимает бизнес-контекста и не может оценить критичность найденной уязвимости. Часто допускает ложные срабатывания или «галлюцинации», придумывает несуществующие библиотеки, уязвимости, пакеты. При «вайбкодинге» это особенно опасно: злоумышленники могут зарегистрировать вредоносный пакет с вымышленным именем и дождаться его установки.

Угроза идет и с другой стороны. Если модель обучена на «отравленных» данных, она может сама вставить баг или бэкдор, не нарушая синтаксиса. Доказано: достаточно подмешать несколько уязвимых примеров в датасет — и ИИ начнет вставлять вредоносные конструкции под видом корректного кода. Поэтому в ближайший год код-ревью для сгенерированного ИИ-кода станет обязательным. Будут приняты новые регламенты: обязательная проверка зависимостей, ручная валидация автоподсказок и настройка моделей на снижение ложных срабатываний. Разработчик должен не просто использовать ИИ, но и нести ответственность за результат.

В России к этому добавится и фактор сертификации. ФСТЭК и Минцифры уже формируют требования к LLM-ассистентам. Без отметки в едином реестре закупки ИИ-инструментов для госнужд будут невозможны. Идут разработки fine-tune-моделей, обученных на CVE и закрытых репозиториях — с контролем поставки и доверенным контуром.

Тем временем на подпольных форумах продаются Attack-as-a-Prompt-наборы — цепочки запросов, которые заставляют LLM вставить обфусцированный бэкдор и обойти IDE-фильтры. В ход идет и отравление датасетов: атакующий подменяет пару патчей в популярных проектах, и модель начинает «рекомендовать» уязвимость как норму. Третий вектор атак — supply-chain: вредоносный fine-tune подсовывают через CI-плагины, отвлекая внимание ревьюера на ложные тревоги.

К 2028 году усилится и регулирование. Появятся ГОСТы и реестр доверенных ИИ-моделей. Для вывода LLM-продукта на рынок потребуется сертификация по линии ФСТЭК и Минцифры — с проверкой на объяснимость и отсутствие недекларированных возможностей. Без этого ни один крупный заказчик не подпишет контракт. Параллельно будет идти борьба за суверенные модели — полностью локализованные, обученные на отечественных данных. Датасеты станут стратегическим активом. Побеждать будут те, кто накопит и разметит больше корректного и атакующего кода. Возможно, под эгидой государства появятся консорциумы по обмену данными об уязвимостях, чтобы обучать свои модели на уровне лучших западных аналогов.

Через три года LLM станут постоянными участниками ИБ-процессов. Они ускорят поиск и исправление уязвимостей, но и сами будут полем боя. Атаки станут масштабнее, а защита — интеллектуальнее. Паниковать не надо: человек остается в центре. От экспертов, их навыков и осознанности будет зависеть, станет ли ИИ нашим союзником, или очередным источником риска. Прорыв возможен. Но произойдет это только при тесной координации сообщества, бизнеса и государства.