Исследование показало резкий рост уязвимостей из-за кода, созданного ИИ-инструментами
Изображение: grok
Эксперты фиксируют всё больше уязвимостей, которые появляются из-за кода, написанного ИИ. Только в марте 2026 года выявлено не менее 35 новых случаев CVE, что заметно превышает показатели начала года.
Команда из Технологического института Джорджии установила, что инструменты программирования нового поколения, в том числе Claude Code от Anthropic, стали повседневным инструментом разработчиков. Но вместе с популярностью растёт и число уязвимостей в программных продуктах.
По данным проекта Vibe Security Radar, в январе зафиксировали 6 подобных уязвимостей, в феврале уже 15, а в марте показатель вырос больше чем вдвое. Проект запустила в мае 2025 года лаборатория SSLab при школе кибербезопасности института. Анализируются уязвимости из открытых баз, среди которых CVE, National Vulnerability Database, GitHub advisory database, OSV и RustSec. Главная задача одна: понять, в каких случаях причиной проблемы стал именно код, сгенерированный ИИ.
Основатель Vibe Security Radar Ханьцин Чжао отметил, что индустрии не хватает точных данных о таких уязвимостях, хотя разговоры о рисках идут уже давно. По его словам, куда важнее разбирать реальные инциденты, затронувшие живых пользователей, а не строить гипотетические оценки.
Чжао также указал на другую проблему. Разработчики всё чаще запускают проекты в эксплуатацию сразу после генерации кода, толком не проверяя его. Даже там, где есть процессы ревью, команды нередко не замечают ошибок, если большая часть кода создана автоматически.
В исследовании отслеживается около 50 инструментов, среди которых GitHub Copilot, Cursor, Devin, Windsurf, Aider, Amazon Q и Google Jules. Специалисты извлекают данные из публичных реестров, находят исправляющие коммиты в репозиториях и разбираются, откуда взялась ошибка.
Если в истории изменений есть признаки участия ИИ, например метки соавтора или характерные технические сигнатуры, такие случаи получают отдельную маркировку. Дальше в дело вступают ИИ-агенты, которые изучают причины появления уязвимости и устанавливают её связь с автоматически созданным кодом.
Всего исследователи подтвердили 74 случая CVE, напрямую связанных с ИИ-инструментами. Чаще всего в этих историях фигурировал Claude Code, что отчасти объясняется просто: продукт Anthropic оставляет в коде заметные технические следы.
