Только 10% кода от ИИ безопасно: почему AI-ассистенты плодят уязвимости

Шокирующая статистика

Учёные из Карнеги-Меллона, Колумбии и Джонса Хопкинса выяснили: только 10% кода от ведущих ИИ-моделей одновременно работает и безопасно. Функционально корректным получается около 61% — но лишь каждый десятый файл не содержит серьёзных уязвимостей.

Почему ИИ воспроизводит уязвимости?

Языковые модели обучались на открытом коде из интернета — вместе с лучшими практиками они усвоили бесчисленные антипаттерны и уязвимости. Новые дыры находят каждый день в коде десятилетней давности, и эта информация автоматически в модели не попадает.

AURI: защита прямо в редакторе

Стартап Endor Labs ($208 млн инвестиций) запустил AURI — бесплатный инструмент, встраивающийся в AI-ассистенты через MCP. Работает с Cursor, Claude, Augment и другими.

• Бесплатно для разработчиков — без регистрации
• Интеграция в VS Code, Cursor, Windsurf
• Анализ в реальном времени при генерации кода
• Снижение ложных срабатываний на 80-95%

Как это работает

AURI строит «граф контекста кода» — детальную карту того, как именно используется каждый компонент. В отличие от Snyk или Dependabot, он анализирует достижимость: если из 99000 строк библиотеки реально вызываются лишь 10 — уязвимости остальных нерелевантны. Для этого наняли 13 PhD из Meta, GitHub и Microsoft.

Масштаб проблемы

90% команд уже используют AI-ассистенты. При 10% безопасного кода мы в глобальном масштабе ускоренно создаём уязвимые системы. Традиционные инструменты не рассчитаны на такой объём генерации.

Вывод

Мы влюбились в скорость AI-разработки и закрыли глаза на качество. Быстрее писать код — не значит лучше: мы просто быстрее накапливаем уязвимости. AURI — правильный шаг, но пока 90% команд работают без подобной защиты, риски огромны.