Актуальные вакансии
Управление файлами cookie
Мы используем файлы cookie с целью персонализации сервисов и чтобы пользоваться веб-сайтом было удобнее. Продолжив работу с сайтом, вы соглашаетесь с использованием файлов cookie на условиях Политики обработки персональных данных. Вы можете отказаться от использования файлов cookie, для этого измените настройки своего интернет-браузера.
Управление файлами cookie
Настройки файлов cookie
Файлы cookie, необходимые для корректной работы сайта, всегда включены.
Другие файлы cookie можно настроить.
Основные файлы cookie
Всегда включен. Эти файлы cookie необходимы для того, чтобы вы могли пользоваться веб-сайтом и его функциями. Их нельзя отключить. Они устанавливаются в ответ на ваши запросы, такие как настройка параметров конфиденциальности, вход в систему или заполнение форм.
Аналитические файлы cookie
Disabled
Эти файлы cookie собирают информацию, чтобы помочь нам понять, как используются наши веб-сайты или насколько эффективны наши маркетинговые кампании, или чтобы помочь нам настроить наши веб-сайты под вас. Смотрите список используемых нами аналитических файлов cookie здесь.
Рекламные файлы cookie
Disabled
Эти файлы cookie предоставляют рекламным компаниям информацию о вашей онлайн-активности, чтобы помочь им предоставлять вам более релевантную онлайн-рекламу или ограничить количество просмотров рекламы. Эта информация может быть передана другим рекламным компаниям. Смотрите список рекламных файлов cookie, которые мы используем здесь.

Исследование: 75% компаний осознанно внедряют уязвимый код

Примерное время чтения: 9 минут

С одной стороны бизнес ждет, что скорость разработки повысится за счет ИИ, с другой — сгенерированный код все еще надо ревьюить и проверять на безопасность силами людей. От 95% CISO требуют откладывать проверки безопасности, чтобы быстрее приблизиться к релизу. Как итог — 75% компаний знают, что в прод попал уязвимый код, а 30% просто надеются, что эти уязвимости никто не найдет.
В исследовании консалтинговой компании Censuswide опросили 2350 CISO (директоров по информационной безопасности), AppSec (менеджеров по безопасности приложений) и разработчиков из 14 стран — на сегодняшний день это самая большая выборка среди подобных исследований.
Авторы выяснили вот что: в угоду скорости нормализуются риски, которые появляются из-за не слишком тщательной проверки сгенерированного кода.
Расскажем, как исследователи объясняют рост уязвимостей — и что делать, чтобы безопасность не проседала в погоне за скоростью разработки.

Содержание

ИИ теперь пишет код, а проверка безопасности остается на человеке

По данным Censuswide, 49% продакшен-кода теперь генерируется искусственным интеллектом. 67% организаций сообщают, что компоненты с открытым исходным кодом составляют не менее половины их кодовой базы.
Код, написанный человеком, больше не норма. Казалось бы, не норма и не норма — разве плохо, что рутинным написанием теперь занимается ИИ, а человек выступает в роли редактора? Это действительно ускоряет написание скриптов, но ревью и ИБ-проверки остаются на людях — и контроль за скоростью написания кода не поспевает.
Чем больше кода, созданного искусственным интеллектом, тем выше риски — и эта зависимость линейна. Исследователи разделили всех 2350 респондентов на группы в зависимости от того, какая часть их кода создана с помощью ИИ, а затем сравнили долю кода с известными уязвимостями в каждой группе.
  • Организации, в которых 81−100% кода создано с помощью ИИ, выпускают уязвимый код в 3,4 раза чаще, чем те, у кого этот показатель составляет 1−20%.
Эта закономерность прослеживается во всех группах. 70% самих разработчиков подтверждают, что в 2025 году инструменты для генерации кода с помощью ИИ привели к появлению новых уязвимостей.
Процент уязвимого кода в зависимости от того, сколько процентов кода написано с помощью нейросетей. Источник: checkmarx.com

С развитием ИИ взламывать уязвимости и красть данные становится легче

В целом у ИТ-компаний нет глобальных проблем с тем, чтобы находить уязвимости. Но сократить разрыв между обнаружением и устранением уязвимостей не получается. Директора по ИБ и другие ИТ-лидеры прекрасно знают об их существовании, но все равно вынуждены пропускать потенциально опасный код.
По словам авторов исследования, еще до апреля 2026 года эта проблема не была столь яркой. Но затем Anthropic представила Mythos — ИИ-модель, которая ищет и использует давно известные уязвимости в основных операционных системах и браузерах, а еще создает рабочие эксплойты почти в сто раз чаще, чем предшественница.
При этом в мире треть организаций не исправляют уязвимости в течение 90 дней. Только 9% организаций устраняют более 90% рисков в этот срок, треть же оставляет половину без исправлений.
С анонсом Mythos ситуация стала опасной. Возможно, исследователи катстрофизируют, но они подчеркивают — счет идет на минуты, а не на месяцы. Впрочем, доступ к Mythos 5 есть только у некоторых ИБ-специалистов и компаний в рамках программы Project Glasswing, которую Anthropic реализует совместно с правительством США.
  • То, что «опасная» ИИ-модель Mythos 5 не в открытом доступе, несколько успокаивает. Но даже без нее порог входа в кибератаки сильно снизился.

    Например, TechRadar со ссылкой на OALABS описывает кейс, где хакер-новичок проник в 14 организаций и украл их конфиденциальные данные, используя только Claude Code и Codex. Злоумышленник использовал расплывчатые промпты, а всю основную работу сделали ИИ-агенты. Они занимались разведкой, писали эксплойты и собирали данные, с легкостью обходя защиту.

Риски нормализуют, чтобы быстрее двигаться к релизу. А еще ИБ-специалисты недооценивают угрозы

95% директоров по информационной безопасности сообщают, что на них оказывается давление с целью скрыть или отложить устранение нарушений в области безопасности. 47% из них часто соглашаются на пропуск проверок.
  • 75% компаний вводят уязвимый код осознанно. 30% рассчитывают, что уязвимости не будут обнаружены.
Несмотря на такие сведения, бюджеты на информационную безопасность растут — они увеличились на 46% по сравнению с 2025 годом. Но только 19% CISO утверждают, что их бюджет позволяет им активно снижать риски. Остальные работают в условиях ограничений и с так называемыми «допустимыми рисками».
Специалисты уверены в защищенности своих сервисов, но это не соответствует реальной картине. К примеру, 73% CISO и AppSec оценивают уровень своей защищенности как продвинутый или высокий. Тем не менее за последние 12 месяцев 81% организаций подвергались взлому дважды или более, а 48% — трижды или более.
Самый поразительный вывод: организации, которые считают себя «высокоразвитыми», сообщают о наибольшем объеме кода, написанного с помощью ИИ, о самых высоких показателях уязвимого кода и нарушений, практически идентичных показателям в остальной отрасли. То есть уверенность не соответствует реальной ситуации, которая обстоит с безопасностью в компании.

ИБ-специалисты в одной компании по-разному оценивают риски

Исследователи нашли сильные различия между тем, как CISO и AppSec отвечают на одни и те же вопросы. Рассмотрим, в чем же расходятся их мнения.
менеджеры по безопасности приложений
AppSec
директора по информационной безопасности
CISO
12%
28%
Насколько стандартизирован и отрегулирован процесс написания кода с помощью ИИ
18%
5%
Сколько респондентов замечали использование ИИ, не согласованное с ИБ
1%
11%
Сколько респондентов отметили, что за прошедший год в компании не было ИБ-нарушений
AppSec, которые находятся ближе всего к источнику риска, оценивают уровень защищенности менее оптимистично. Люди, которые отвечают за безопасность, не могут прийти к единому мнению о том, что происходит внутри их собственных компаний — это может создать ситуации, когда потенциальные угрозы будут недооценены или пропущены.

Как действуют разработчики — и как им помочь, чтобы снизить ИБ-риски

Роль разработчика изменилась. Вместо автора кода он теперь больше его редактор — это ускоряет написание. Но вот ревью и проверки безопасности не автоматизируются так же быстро, как кодинг, и для надежности 96% разработчиков используют инструменты для проверки безопасности.
Подавляющее большинство, а именно 82% разработчиков, применяют меры безопасности только на контрольных точках — и лишь 18% исправляют ошибки по мере написания кода. Почти половину своего времени специалисты тратят на то, чтобы обеспечить безопасность, но доля выпуска уязвимого кода все равно составляет 32% — это больше, чем у всех других групп респондентов.
Как это можно исправить? Авторы исследования указывают, что неудачам способствуют ИИ-инструменты, которые генерируют некачественные результаты (37%), нечеткие инструкции (38%) и запаздывающая обратная связь (38%).
  • Это именно те вопросы, которые предстоит решить ИТ-лидерам, чтобы повысить безопасность разработки — помимо своевременного устранения угроз и более пристального фокуса на ИБ в целом.

FAQ

Екатерина Ключникова
контент-менеджер

Читайте также