Исследование METR, опубликованное в июле 2025 года, зафиксировало неудобный факт: опытные разработчики, работавшие с ИИ-инструментами на незнакомом репозитории, тратили на задачи на 19% больше времени, чем без них. При этом субъективно они оценивали свою скорость как выросшую на 20%. Разрыв между ощущением и реальностью составил 39 процентных пунктов. Шесть независимых исследований, включая данные JetBrains, сошлись на одной цифре: реальный прирост продуктивности в организациях — около 10%. Не кратный рост, который обещает маркетинг вокруг Cursor, GitHub Copilot и Claude Code.

Причина расхождения структурная. Написание кода занимает 25–35% цикла разработки. Остальные 65–75% — сбор требований, ревью кода, проверка безопасности, тестирование, деплой. ИИ ускорил первый этап. Всё остальное не только не ускорилось, но в большинстве команд замедлилось: больше кода означает больше ревью, больше тестов, больше поддержки. Теория ограничений Голдратта здесь работает буквально: ускорение одного звена при неизменных остальных создаёт затор дальше по цепочке. CEO Cursor Майкл Труэлл признал это прямо: ревью кода в большинстве команд выглядит так же, как три года назад. Вскоре после этого Cursor купил Graphite — стартап, специализирующийся на code review. Покупка точнее любого пресс-релиза указала на реальное узкое место.

Данные Faros AI конкретизируют масштаб проблемы. Команды с высоким adoption ИИ-инструментов мержили на 98% больше пулл-реквестов. Время ревью выросло на 91%. Количество багов увеличилось на 9%. Метрики DORA — стандартный отраслевой показатель эффективности DevOps-процессов — показали снижение на 25 процентных пунктов у тех, кто активно внедрял ИИ. Не рост.

Команды с высоким adoption ИИ мержили на 98% больше пулл-реквестов, а время ревью выросло на 91%.

Отдельная история — безопасность. Veracode проанализировал 1,6 миллиона приложений и зафиксировал: 82% компаний накопили security debt (годом ранее было 74%), критические уязвимости выросли с 8,3% до 11,3%. Плотность уязвимостей в ИИ-коде в 2,7 раза выше, чем в написанном людьми. SQL injection и XSS встречаются в 86% случаев, log injection — в 88%. Архитектурные уязвимости — обход аутентификации, некорректное управление сессиями — выросли на 153%. Число новых findings в месяц, приходящихся на ИИ-код, выросло в 10 раз за год. 57% организаций признают, что ИИ-инструменты создают новые риски; 70% сообщают о подтверждённых или предполагаемых уязвимостях.

Проблема не в самих инструментах. Организации добавили ИИ-генерацию в существующий пайплайн, не перестроив ничего после неё. Команды безопасности по-прежнему проверяют вручную. Ревью по-прежнему зависит от двух живых людей. Скорость генерации выросла в 10 раз. Пропускная способность контроля осталась прежней. Это и есть источник кризиса — не технологический, а организационный.

Команды, которые улучшили метрики DORA на фоне общего снижения, действовали по схожей логике: перестроили весь пайплайн, а не только этап написания. Проверка безопасности стала частью процесса, а не послесловием. Ревью автоматизировали там, где это возможно, и добавили ревьюеров там, где нельзя. Критерий «скомпилировалось и тесты прошли» перестал считаться достаточным для деплоя в продакшен. ИИ в этой модели — компонент системы, а не замена процессу: он генерирует код, люди решают, стоило ли его писать и безопасно ли выпускать.