Безопасность AI-кода: почему одного LLM мало

AI-генерация кода меняет то, как пишется софт, но проверка такого кода создаёт новые риски. Replit проверил, достаточно ли AI-сканеров для vibe coding или это по сути «модель проверяет сама себя».

Эксперименты на React-приложениях с реалистичными уязвимостями показали: один и тот же код может получать разные оценки в зависимости от формулировки промпта или синтаксиса. Хардкод секретов может быть найден в одном варианте и пропущен в другом. Уязвимости зависимостей и риски supply chain остаются невидимыми без классических сканеров.

Вывод: LLM полезны для бизнес-логики и намерений, но надёжный базовый уровень даёт только гибрид — статический анализ, проверка зависимостей и LLM вместе.

Источник: How Replit Secures AI-Generated Code (Replit Blog)