GitHub Copilot, Claude Code, Cursor и другие ИИ-ассистенты перестали быть просто инструментами автодополнения. Разработчики используют их для генерации бизнес-логики, инфраструктурного кода, конфигураций и API-контрактов. Этот стиль, получивший название vibe coding, ускоряет разработку, но одновременно ломает традиционную модель безопасности.
При vibe coding разработчик отправляет модели значительный контекст: код, конфиги, логи, иногда секреты и персональные данные. Модель генерирует решение, которое после минимальной адаптации уходит в pull request. Классический DevSecOps, построенный на предположении, что код создаётся в контролируемой среде и проходит SAST, SCA и DAST-проверки, не учитывает этот этап. Часть разработки происходит до репозитория и CI/CD, что создаёт новый слой риска: неизвестно, какие данные были отправлены в модель, откуда взялся сгенерированный код и кто фактически принял инженерное решение.
Основные риски включают утечки секретов (API-ключи, JWT-токены, пароли) и персональных данных через внешние LLM. Для российских компаний это особенно критично в контексте 152-ФЗ и требований к КИИ. Кроме того, модель может генерировать небезопасные паттерны, зависимости с известными CVE или конфигурации с избыточными правами. Чтобы снизить риски, эксперты рекомендуют пропускать все обращения к LLM через контролируемый шлюз и использовать решения класса LLM Firewall для проверки промптов и контекста на наличие чувствительных данных.
Основные риски: утечка секретов и персональных данных через внешние LLM, потеря прозрачности происхождения кода.

